tag:blogger.com,1999:blog-144234622024-03-19T05:48:06.587-03:00Segu-Info - Ciberseguridad desde 2000Noticias de Ciberseguridad desde Segu-InfoSeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.comBlogger22510125tag:blogger.com,1999:blog-14423462.post-82197747791428157472024-03-18T10:41:00.007-03:002024-03-18T10:41:33.593-03:00Nuevo ataque acústico determina las pulsaciones de teclas a partir de patrones de escritura<p>
Los investigadores han demostrado un nuevo
<b>ataque acústico de canal lateral en los teclados</b> que puede deducir la
entrada del usuario en función de sus patrones de escritura, incluso en malas
condiciones, como entornos con ruido.
</p>
<p>
Aunque el método logra una tasa de éxito promedio del 43%, que es
significativamente menor que
<a
href="https://www.bleepingcomputer.com/news/security/new-acoustic-attack-steals-data-from-keystrokes-with-95-percent-accuracy/"
rel="nofollow"
target="_blank"
>otros métodos presentados en el pasado</a
>, no requiere condiciones de grabación controladas ni una plataforma de
escritura específica.
</p>
<p>
Esto lo hace más aplicable en ataques reales y, dependiendo de algunos
parámetros específicos del objetivo, puede producir suficientes datos
confiables para descifrar la entrada general del objetivo con algún análisis
posterior a la captura.
</p>
<h3 style="text-align: left;">El ataque acústico</h3>
<p>
Los investigadores Alireza Taheritajar y Reza Rahaeimehr de la Universidad de
Augusta en Estados Unidos han publicado un
<a href="https://arxiv.org/pdf/2403.08740.pdf" rel="nofollow" target="_blank"
>artículo técnico</a
> [PDF] que presenta los detalles de su exclusivo método acústico de
canal lateral.
</p>
<p>
<b
>El ataque aprovecha las emisiones de sonido distintivas de diferentes
pulsaciones de teclas y el patrón de escritura de los usuarios capturado por
software especializado para recopilar un conjunto de datos.</b
>
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="208"
data-original-width="800"
height="166"
src="https://www.bleepstatic.com/images/news/u/1220909/2024/Papers/comparison.png"
width="640"
/>
</div>
<p>
Es fundamental recopilar algunas muestras de escritura del objetivo para que
las pulsaciones de teclas y palabras específicas puedan correlacionarse con
las ondas sonoras.
</p>
<p>
El documento profundiza en los posibles métodos para capturar texto, pero
podría ser a través de malware, sitios web maliciosos o extensiones de
navegador, aplicaciones comprometidas, secuencias de comandos entre sitios o
teclados USB comprometidos.
</p>
<p>
La escritura del objetivo puede grabarse usando un micrófono oculto cerca de
él o de forma remota usando dispositivos comprometidos en las proximidades,
como teléfonos inteligentes, computadoras portátiles o parlantes inteligentes.
</p>
<p>
El conjunto de datos capturado incluye muestras de tipeo en diversas
condiciones, por lo que se deben registrar múltiples sesiones de tipeo, lo
cual es crucial para el éxito del ataque. Sin embargo, los investigadores
dicen que el conjunto de datos no tiene por qué ser particularmente grande.
</p>
<p>
Luego, el conjunto de datos se utiliza para entrenar un modelo estadístico que
produce un perfil completo de los patrones de escritura individuales del
objetivo en función de los intervalos de tiempo entre pulsaciones de teclas.
</p>
<p>
Los investigadores descubrieron que aceptar una desviación del 5% para el
modelo estadístico es crucial, ya que el comportamiento al escribir varía
ligeramente incluso cuando una persona escribe la misma palabra dos veces.
</p>
<p>
Por ejemplo, cualquier intervalo registrado entre A y B que se encuentre entre
95 milisegundos (100 - 5%) y 105 milisegundos (100 + 5%) podría considerarse
una coincidencia.
</p>
<p>
La desviación también ayuda a mitigar el impacto de los errores o el ruido en
la grabación, asegurando que las discrepancias menores no provoquen una falta
de coincidencia.
</p>
<p>
El método predice el texto escrito analizando grabaciones de audio de la
actividad del teclado, y la precisión se mejora al filtrar las predicciones a
través de un diccionario de inglés.
</p>
<p>
Lo que hace que el ataque sea diferente en comparación con otros enfoques es
que puede alcanzar una precisión de predicción de escritura del 43 % (en
promedio) incluso cuando:
</p>
<p></p>
<ul style="text-align: left;">
<li>las grabaciones contienen ruido ambiental</li>
<li>
las sesiones de escritura grabadas para el mismo objetivo se llevaron a cabo
en diferentes modelos de teclado.
</li>
<li>las grabaciones fueron tomadas usando un micrófono de baja calidad</li>
<li>el objetivo es libre de utilizar cualquier estilo de escritura</li>
</ul>
<p></p>
<p>
Por otro lado, el método tiene limitaciones que en ocasiones hacen que el
ataque sea ineficaz.
</p>
<p>
Por ejemplo, puede ser difícil perfilar a las personas que rara vez usan una
computadora y no han desarrollado un patrón de mecanografía consistente, o a
los mecanógrafos profesionales que escriben muy rápido.
</p>
<p>
Los resultados de las pruebas de 20 sujetos de prueba han producido un amplio
rango de éxito, desde el 15% hasta el 85%, lo que hace que algunos sujetos
sean mucho más predecibles y susceptibles que otros.
</p>
<p>
Los investigadores también observaron que la amplitud de la forma de onda
producida se acentúa menos cuando se utilizan teclados silenciosos
(interruptores mecánicos o de membrana con amortiguador de sonido), lo que
puede obstaculizar la eficacia del entrenamiento para el modelo de predicción
y reducir las tasas de detección de pulsaciones de teclas.
</p>
<p>
Fuente:
<a
href="https://www.bleepingcomputer.com/news/security/new-acoustic-attack-determines-keystrokes-from-typing-patterns/"
rel="nofollow"
target="_blank"
>BC</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-91628244331863245932024-03-17T11:00:00.000-03:002024-03-17T11:00:00.126-03:00Chrome mejora la protección de URL para evitar phishing<p>
Google anunció el jueves una versión mejorada de navegación segura para
brindar protección de URL en tiempo real, preservando la privacidad y
salvaguardando a los usuarios de visitar sitios potencialmente maliciosos.
</p>
<p>
<i>"El modo de protección estándar para Chrome en escritorio e iOS comparará
en tiempo real los sitios con la lista de sitios dañinos conocidos"</i>,
<a href="https://blog.google/products/chrome/google-chrome-safe-browsing-real-time/" rel="nofollow" target="_blank">dijeron</a>
Jonathan Li y Jasika Bawa de Google.
<i>"Si sospechamos que un sitio representa un riesgo para usted o su
dispositivo, verá una advertencia con más información. Al revisar los sitios
en tiempo real, esperamos bloquear un 25% más de intentos de phishing".</i>
</p>
<p>
Hasta ahora, el navegador Chrome utilizaba una lista almacenada localmente de
sitios inseguros conocidos que se actualiza cada 30 a 60 minutos y luego
aprovechaba un
<a href="https://security.googleblog.com/2022/08/how-hash-based-safe-browsing-works-in.html" rel="nofollow" target="_blank">enfoque basado en <i>hash</i></a>
para comparar cada sitio visitado con la base de datos.
</p>
<p>
<a href="https://thehackernews.com/2023/09/google-chrome-rolls-out-support-for.html" rel="nofollow" target="_blank">Google reveló</a> sus planes de cambiar a comprobaciones del lado del servidor en tiempo
real sin compartir el historial de navegación de los usuarios con la empresa
en septiembre de 2023. La razón del cambio está motivada por el hecho de que
la lista de sitios web dañinos está creciendo a un ritmo rápido y que el 60%
de
<a href="https://www.kaspersky.com/about/press-releases/2021_powerful-but-short-lived-one-third-of-phishing-pages-cease-to-be-active-after-a-day" rel="nofollow" target="_blank">los dominios de phishing existen por menos de 10 minutos</a>, lo que los hace difíciles de bloquear.
</p>
<p>
No todos los dispositivos tienen los recursos necesarios para mantener esta
lista creciente, ni siempre pueden recibir y aplicar actualizaciones a la
lista con la frecuencia necesaria para beneficiarse de una protección total.
Por lo tanto, con
<a href="https://security.googleblog.com/2024/03/blog-post.html" rel="nofollow" target="_blank">la nueva arquitectura</a>, cada vez que un usuario intenta visitar un sitio web, la URL se compara con
las cachés globales y locales del navegador que contienen URL seguras
conocidas y los resultados de comprobaciones anteriores de navegación segura
para determinar el estado del sitio.
</p>
<p>
Si la URL visitada no está en las cachés, se realiza una verificación en
tiempo real ofuscando la URL en
<a href="https://developers.google.com/safe-browsing/v4/urls-hashing" rel="nofollow" target="_blank">hashes completos de 32 bytes</a>, que luego se truncan en prefijos hash de 4 bytes de largo, se cifran y se
envían a un servidor privado.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="221" data-original-width="800" height="176" img="" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWX4X0IOWMDxOgv4_2z033z3i327gXtjV0U0eTdW2XRAxKJPp-_oaIplWUUwJBgt-UNvwNnhlHNPz30O26SVDKK1GImmt_-L0qYhMT-P8N00bMv3ufXZw4TxxTQoTOsXUWx7wUNzoQ05AQwdJn9vXMJmBQR-HG3yY1yW09GrvK1XXrF7Awe3mTxTnY9N-1/s2030/Screenshot%202024-03-13%203.41.41%20PM.png" width="640" />
</div>
<p>
<i>"El servidor de privacidad elimina los identificadores de usuarios
potenciales y reenvía los prefijos hash cifrados al servidor de navegación
segura a través de una conexión TLS que combina solicitudes con muchos otros
usuarios de Chrome"</i>, explicó Google.
</p>
<p>
Posteriormente, el servidor de navegación segura descifra los prefijos hash y
los compara con la base de datos del lado del servidor para devolver hashes
completos de todas las URL no seguras que coinciden con uno de los prefijos
hash enviados por el navegador.
</p>
<p>
Finalmente, en el lado del cliente, los hashes completos se comparan con los
hashes completos de la URL visitada y se muestra un mensaje de advertencia si
se encuentra una coincidencia.
</p>
<p>
Google también confirmó que el servidor de privacidad no es más que un
retransmisor HTTP Oblivious (OHTTP) operado por Fastly que se ubica entre
Chrome y el servidor de Navegación Segura para evitar que este último acceda a
las direcciones IP de los usuarios, evitando así correlacionar las
comprobaciones de URL con un Historial de navegación en Internet del usuario.
</p>
<p>
<i>"En última instancia, Safe Browsing ve los prefijos hash de su URL pero no
su dirección IP, y el servidor de privacidad ve su dirección IP pero no los
prefijos hash. Ninguna parte tiene acceso a su identidad y a los prefijos
hash. Como tal, su actividad de navegación permanece privada".</i>
</p><p>Fuente: <a href="https://thehackernews.com/2024/03/google-introduces-enhanced-real-time.html" rel="nofollow" target="_blank">THN</a></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-73077456185151692242024-03-16T10:36:00.001-03:002024-03-16T10:36:00.119-03:00La lucha actual para proteger los PLC y redes OT<p>
Han pasado muchos años desde que el infame ataque
<a href="https://blog.segu-info.com.ar/search/?q=stuxnet" rel="nofollow" target="_blank">Stuxnet</a>
puso de relieve las vulnerabilidades de los sistemas de tecnología operativa
(OT) que desempeñan un papel crucial en nuestra infraestructura crítica. Sin
embargo, a pesar de los avances, estos sistemas siguen expuestos, lo que
genera preocupación sobre nuestra preparación para futuras amenazas
cibernéticas.
</p>
<p>
Por ejemplo, un
<a href="https://www.darkreading.com/ics-ot-security/siemens-plcs-still-vulnerable-stuxnet-like-cyberattacks" rel="nofollow" target="_blank">artículo reciente de escrito por Dan Raywood</a>
destacó cómo los controladores lógicos programables (PLC), específicamente los
controladores de la marca Siemens, siguen siendo vulnerables.
</p>
<h3 style="text-align: left;">Vulnerabilidad de OT</h3>
<p>
<b>Un desafío central de la vulnerabilidad OT radica en el comportamiento
humano.</b>
Los actores de amenazas explotan el comportamiento humano. Esto conduce a
contraseñas débiles, actualizaciones desatendidas y un cumplimiento poco
estricto de los protocolos. Al explotar estas tendencias, los delincuentes
informáticos convierten contraseñas fáciles de adivinar en claves maestras y
aprovechan vulnerabilidades sin parches para obtener acceso.
</p>
<p>
<b>La convergencia de IT y OT crea un arma de doble filo. Si bien fomenta la
eficiencia y la innovación, también amplía la superficie de ataque.</b>
La creación de una red para gestionar dispositivos críticos (como los PLC)
que controlan maquinaria y la interconexión de TI y OT tiene el potencial
de convertirse en una pesadilla de seguridad.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="379" data-original-width="800" height="303" src="https://i.imgur.com/8oSRqc1.png" width="640" />
</div>
<h3 style="text-align: left;">
Lo mejor es un enfoque en capas para la seguridad de OT
</h3>
<p>
En principio se recomienda el uso de tecnología que aplique medidas de
seguridad, como la utilización de protocolos de cifrado modernos. Aunque esto
ofrece protecciones valiosas, está lejos de ser infalible. Los actores de
amenazas decididos aún pueden explotar vulnerabilidades sin parches o
aprovechar vectores de ataque alternativos, como la convergencia de IT y OT.
Si los atacantes están lo suficientemente motivados, podrían cambiar a otros
métodos en los que TLS resulte inútil. En referencia a las vulnerabilidades
del PLC de Siemens, el atacante puede enviar instrucciones API directamente al
PLC, dándole instrucciones que pueden dañar procesos críticos.
</p>
<p>
El artículo hace referencia a los comentarios de Colin Finck, líder
tecnológico de ingeniería inversa y conectividad en Enlyze, sobre el firmware
más reciente de Siemens que admite TLS, que según él no es lo suficientemente
bueno. En este sentido, el artículo es correcto, pero no dice explícitamente
que la ciberseguridad necesite un enfoque en capas, siendo el cifrado sólo una
pieza del rompecabezas.
</p>
<p>
Por ejemplo, seria recomendable implementar el enfoque de defensa en
profundidad para las operaciones de la planta y configurar el entorno de
acuerdo con los
<a href="https://www.siemens.com/cert/operational-guidelines-industrial-security" rel="nofollow" target="_blank">lineamientos operativos de Siemens</a> [PDF] para seguridad industrial.
</p>
<h3 style="text-align: left;">No confíes en nadie</h3>
<p>
<b>Aquí es donde la protección a nivel de dispositivo se vuelve crucial.
Proteger y asegurar dispositivos, como los PLC, proporciona una solución
tanto para las crecientes superficies de ataque como para el elemento
humano. La seguridad implica un enfoque simple: no confíes en nadie. Por lo
tanto, aplicar y hacer cumplir la confianza cero (Zero Trust) ayuda a
proteger la infraestructura crítica.</b>
</p>
<p>
Promover estas sólidas políticas de seguridad y establecer pautas claras para
un entorno OT seguro implica una
<b>verificación meticulosa de cada intento de acceso a los PLC</b>. Además, a
usuarios específicos se les deben conceder sólo los permisos mínimos
necesarios. Tanto los equipos de seguridad como los gerentes de OT deben
defender los controles de acceso, garantizando que solo los usuarios
autorizados puedan interactuar con los PLC que controlan los sistemas críticos
en la fábrica. La aplicación de estas políticas de seguridad evita que
determinados atacantes envíen instrucciones API directamente al PLC.
</p>
<h3 style="text-align: left;">Construir resiliencia</h3>
<p>
<b>Las vulnerabilidades de los PLC sirven como un crudo recordatorio de la
lucha actual para proteger nuestra infraestructura crítica.</b>
Siemens es sólo uno de los muchos proveedores de PLC, cada uno de los cuales
tiene diferentes vulnerabilidades.
</p>
<p>
Debido a esto, la ciberseguridad debe ser parte de las responsabilidades de
los gerentes de OT y equipos de IT. Deben comprender que es necesario un
enfoque por niveles, siendo el primer nivel la protección de los PLC. Hacer
cumplir y gestionar el acceso y las credenciales a los PLC transforma la
infraestructura vulnerable en infraestructura resiliente.
</p>
<p>
Fuente:
<a href="https://www.darkreading.com/ics-ot-security/ongoing-struggle-to-protect-plcs" rel="nofollow" target="_blank">Dark Reading</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-73236794053403298322024-03-15T15:51:00.002-03:002024-03-15T16:36:19.353-03:00¿El sensor de luz ambiental de los móviles como herramienta espía?<p>Un nuevo estudio sobre algunas propiedades inesperadas de una función estándar de todos los smartphones y tabletas modernas. <a href="https://www.science.org/doi/10.1126/sciadv.adj3608">En un artículo de la revista Science</a>
publicado a mediados de enero, se describe un método no trivial de husmear a
los usuarios de teléfonos inteligentes a través de un sensor de luz ambiental.</p>
<p>
Todos los teléfonos inteligentes y tabletas cuentan con este componente
integrado, al igual que muchos ordenadores portátiles y televisores. Su
objetivo principal es detectar la cantidad de luz ambiental en el entorno en
el que se encuentra el dispositivo y adecuar el brillo de la pantalla en
consecuencia.
</p>
<p>
De todos modos, primero debemos explicar por qué un atacante usaría una
herramienta poco adecuada para obtener imágenes en lugar de la cámara
tradicional del dispositivo objetivo. La razón es que estos sensores
"inadecuados para la tarea" suelen estar totalmente desprotegidos.
</p>
<p>
Imaginemos que un atacante engaña a un usuario para que instale un programa
malicioso en su teléfono inteligente. El malware se encontrará con ciertas
dificultades para acceder a componentes a los que suele dirigirse, como el
micrófono o la cámara. Pero ¿al sensor de luz? ¡Pan comido!
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="422" data-original-width="708" height="381" src="https://media.kasperskydaily.com/wp-content/uploads/sites/88/2024/03/06210147/ambient-light-sensor-privacy-04.jpg" width="640" />
</div>
<p>
Los investigadores demostraron que este sensor de luz ambiental se puede usar
en lugar de una cámara; por ejemplo, para obtener una imagen instantánea de la
mano del usuario al introducir un PIN en un teclado virtual. En teoría, al
analizar dichos datos, es posible reconstruir la contraseña. En esta
publicación, explicaremos todos los detalles en palabras simples.
</p>
<p>
<a href="https://www.kaspersky.es/blog/ambient-light-sensor-privacy/29750/" rel="nofollow" target="_blank">Contenido completo en Kaspersky</a>
</p>
<p></p>
<p></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-39695704366131322652024-03-15T09:27:00.005-03:002024-03-15T09:27:00.139-03:00Comienza el eSIM Swapping<div class="separator"><div class="separator" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: center;">
<img border="0" data-original-height="800" data-original-width="534" height="320" src="https://www.amaysim.com.au/adobe/dynamicmedia/deliver/dm-aid--14c2caa9-ae88-4fbc-83c1-8abdaacb851d/updated-esim-app-smaller.png?preferwebp=true&quality=85" width="214" />
</div></div><p>
Los intercambiadores de SIM han adaptado sus ataques para robar el número de
teléfono de un objetivo de una tarjeta eSIM, un chip SIM regrabable presente
en muchos modelos recientes de teléfonos inteligentes.
</p><p> Conocida como SIM virtual, consta de una parte hardware que viene integrada de fábrica en el celular y una parte software que se utiliza para descargar la información de la línea al equipo.</p>
<p>
Los módulos de identidad de suscriptor integrados (eSIM) son tarjetas
digitales almacenadas en el chip del dispositivo móvil y cumplen la misma
función y propósito que una tarjeta SIM física, pero pueden reprogramarse,
aprovisionarse, desactivarse, intercambiarse y eliminarse de forma remota.
</p>
<p>
Normalmente,
<a href="https://www.theverge.com/23412033/esim-phone-plan-device-switch-ios-android" rel="nofollow" target="_blank">un usuario puede agregar una eSIM</a>
a un dispositivo que admita la funcionalidad escaneando un código QR del
proveedor de servicios.
</p>
<p>
La tecnología se está volviendo cada vez más popular entre los fabricantes de
teléfonos inteligentes porque las eSIM eliminan la necesidad de una ranura
para tarjeta SIM y pueden ofrecer conectividad celular en dispositivos
portátiles pequeños.
</p>
<p>
La empresa rusa de ciberseguridad F.A.C.C.T. informa que los
<i>SIM Swappers</i> han estado aprovechando este cambio hacia las eSIM
para secuestrar números de teléfono y luego eludir las protecciones para
acceder a las cuentas bancarias.
</p>
<p>
<i>"Desde el otoño de 2023, los analistas de Fraud Protection de F.A.C.C.T.
han registrado más de cien intentos de acceso a las cuentas personales de
clientes en servicios en línea en una sola organización financiera"</i>, se lee en el
<a href="https://www.facct.ru/media-center/press-releases/esim-bank-attacks/" rel="nofollow" target="_blank">comunicado de prensa.</a>
</p>
<p>
<i>"Para robar el acceso a un número de móvil, los delincuentes utilizan la
función de sustituir o restaurar una tarjeta SIM digital: transferir el
teléfono de la 'tarjeta SIM' de la víctima a su propio dispositivo con una
eSIM."</i>
</p>
<p>
Para ello, los atacantes secuestran la cuenta del usuario para la plataforma o
aplicación del proveedor de servicios, lo que les permite iniciar el
procedimiento de portabilidad del número de la víctima a otro dispositivo.
</p>
<p>
<b>Generan un código QR para activar una nueva eSIM y lo escanean con su
dispositivo, esencialmente secuestrando el número. Simultáneamente, el
legítimo titular tiene desactivada su eSIM/SIM.</b>
</p>
<p>
<i>"Al obtener acceso al número de teléfono móvil de la víctima, los
ciberdelincuentes pueden obtener códigos de acceso y autenticación de dos
factores a diversos servicios, incluidos bancos y mensajería, lo que abre
una gran cantidad de oportunidades para que los delincuentes implementen
esquemas fraudulentos"</i>, explicó F.A.C.C.T. analista Dmitri Dudkov.
</p>
<p>
<i>"Hay muchas variantes del esquema, pero los estafadores están más
interesados en los servicios bancarios en línea".</i>
</p>
<p>
Una ventaja para los atacantes es que al transferir el número a su
dispositivo, obtienen acceso a cuentas vinculadas a SIM en varias aplicaciones
de mensajería, lo que abre más oportunidades para estafar a otras personas,
como hacerse pasar por la víctima y engañarlas para que envíen dinero.
</p>
<p>
Anteriormente, los intercambiadores de SIM dependían de la ingeniería social o
trabajaban con personal interno de los servicios de operadores de telefonía
móvil para ayudarlos a portar el número de un objetivo. Sin embargo, a medida
que las empresas implementaron más protecciones para frustrar estas
adquisiciones, los ciberdelincuentes dirigieron su atención a las
oportunidades emergentes en las nuevas tecnologías.
</p>
<p>
<b>Para defenderse de los ataques de intercambio de eSIM, los investigadores
recomiendan utilizar contraseñas complejas y únicas para la cuenta del
proveedor de servicios celulares y habilitar la autenticación de dos
factores si está disponible.</b>
</p>
<p>
Para cuentas más valiosas, como banca electrónica y billeteras de
criptomonedas, los usuarios deberían considerar protegerlas con claves físicas
o aplicaciones de autenticación.
</p>
<p>
Fuente:
<a href="https://www.bleepingcomputer.com/news/security/sim-swappers-now-stealing-phone-numbers-from-esims/" rel="nofollow" target="_blank">BC</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-80880450237411736482024-03-14T15:14:00.002-03:002024-03-15T11:24:41.621-03:00Vulnerabilidad en Kubernetes permite la adquisición del nodo de Windows<div class="separator"><div class="separator" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: center;">
<img border="0" data-original-height="263" data-original-width="800" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSA05t5GO8wdiDVbZWK3ckKnG3rVuFYoy5KALwM0EQSED83K70eRzYXXtaIjkobkm7QOrOL6kPZggTuMRhrNExS7YOqdaPZ3vXc8gSLTDUNX10l1eBg-V1ZmF37XcTSkmpt4CReUxbuaYNXtzynNsud0ZFUcvV2t2cRuFU54YJEDCTpqa15xdyOXE_JI7b/s1600" width="320" />
</div></div><p>
Se han hecho públicos detalles sobre una falla de alta gravedad en Kubernetes,
identificada como
<a href="https://github.com/kubernetes/kubernetes/issues/121879" rel="nofollow noreferrer" target="_blank">CVE-2023-5528</a>.
<i>"La vulnerabilidad permite la ejecución remota de código con privilegios de
SYSTEM en todos los puntos finales de Windows dentro de un clúster de
Kubernetes"</i>,
<a href="https://www.akamai.com/blog/security-research/kubernetes-local-volumes-command-injection-vulnerability-rce-system-privileges" rel="nofollow" target="_blank">dijo el investigador de seguridad de Akamai, Tomer Peled</a>.
<i>"Para explotar esta vulnerabilidad, el atacante necesita aplicar archivos
YAML maliciosos en el clúster".</i>
</p>
<p>
Registrada como CVE-2023-5528 (puntuación CVSS: 7.2), la deficiencia afecta a
todas las versiones de kubelet, incluida la versión 1.8.0 y posteriores.
<b>Se solucionó como parte de las actualizaciones publicadas el 14 de
noviembre de 2023</b>, en las siguientes versiones:
</p>
<ul style="text-align: left;">
<li>kubelet v1.28.4</li>
<li>kubelet v1.27.8</li>
<li>kubelet v1.26.11, y</li>
<li>kubelet v1.25.16</li>
</ul>
<p></p>
<p>
<i>"Se descubrió un problema de seguridad en Kubernetes donde un usuario que
puede crear pods y volúmenes persistentes en nodos de Windows puede escalar
a privilegios de administrador en esos nodos"</i>, dijeron los mantenedores de Kubernetes en un
<a href="https://github.com/kubernetes/kubernetes/issues/121879" rel="nofollow" target="_blank">aviso publicado en ese momento</a>.
<i>"Los clústeres de Kubernetes sólo se ven afectados si utilizan un
complemento de almacenamiento en el árbol para los nodos de Windows".</i>
</p>
<p>
<b>La explotación exitosa de la falla podría resultar en una toma completa de
todos los nodos de Windows en un clúster.</b>
Vale la pena señalar que la empresa de infraestructura web reveló previamente
otro conjunto de
<a href="https://thehackernews.com/2023/09/alert-new-kubernetes-vulnerabilities.html" rel="nofollow" target="_blank">fallas similares</a>
en septiembre de 2023.
</p>
<p>
El problema surge del uso de
<i>"llamadas a funciones inseguras y falta de saneamiento de la entrada del
usuario"</i>
y se relaciona con la característica llamada
<a href="https://kubernetes.io/docs/concepts/storage/volumes/" rel="nofollow" target="_blank">volúmenes de Kubernetes</a>, que aprovecha especialmente un tipo de volumen conocido como
<a href="https://kubernetes.io/docs/concepts/storage/volumes/#local" rel="nofollow" target="_blank">volúmenes locales</a>
que permiten a los usuarios montar una partición de disco en un pod
especificando o creando un
<a href="https://kubernetes.io/docs/concepts/storage/persistent-volumes/" rel="nofollow" target="_blank">volumen persistente</a>.
</p>
<p>
<i>"Al crear un pod que incluye un volumen local, el servicio kubelet
(eventualmente) alcanzará la función 'MountSensitive()'"</i>, explicó Peled.
<i>"Dentro de él, hay una línea <i>cmd</i> que llama a <i>'exec.command'</i>,
que crea un enlace simbólico entre la ubicación del volumen en el nodo y la
ubicación dentro del pod".</i>
</p>
<p>
Esto proporciona una laguna que un atacante puede aprovechar creando un
<i>PersistentVolume</i> con un parámetro de ruta especialmente diseñado en el
archivo YAML, que desencadena la inyección y ejecución de comandos mediante el
uso del
<a href="https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/cmd#:~:text=To%20use%20multiple%20commands%20for%20%3Cstring%3E%2C%20separate%20them%20by%20the%20command%20separator%20%26%26.%20For%20example%3A" rel="nofollow" target="_blank">separador de comandos <i>"&&"</i></a>.
</p>
<p>
<i>
"En un esfuerzo por eliminar la oportunidad de inyección, el equipo de
Kubernetes optó por eliminar la llamada cmd y reemplazarla con una función
GO nativa que realizará la misma operación 'os.Symlink()"</i>, dijo Peled sobre el parche implementado.
</p>
<p>
La divulgación se produce cuando una falla de seguridad crítica descubierta en
el final de su vida útil (EoL) de la cámara Zhejiang Uniview ISC modelo 2500-S
(CVE-2024-0778, puntuación CVSS: 9.8) está siendo explotada por actores de
amenazas para lanzar una botnet Mirai. variante llamada NetKiller que comparte
infraestructura se superpone con una botnet diferente llamada Condi.
</p>
<p>
"El código fuente de la botnet Condi se publicó públicamente en Github entre
el 17 de agosto y el 12 de octubre de 2023", dijo Akamai. "Teniendo en cuenta
que el código fuente de Condi ha estado disponible desde hace meses, es
probable que otros actores de amenazas [...] lo estén utilizando".
</p>
<p>
<b>La única mitigación disponible es parchear Kubernetes a una versión
posterior a la 1.28.3.</b>
</p>
<p>
Fuente:
<a href="https://thehackernews.com/2024/03/researchers-detail-kubernetes.html" rel="nofollow" target="_blank">THN</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-69563561749115150742024-03-13T15:26:00.001-03:002024-03-13T15:32:22.591-03:00Actualizaciones de seguridad de marzo<div class="separator"><div class="separator" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: center;">
<img border="0" data-original-height="405" data-original-width="338" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjawC3juMgSBk9IMWX6kB0UTwqXcLscM509I6i2Avw9K9O1WoU5legiFOr7xyZrDvNYZ7TdcRt5XVPE_M6nCOAz2mP1UThmqKK_zMd-UrvQ4elkfJ0H9dsByey7hZASrctt4OjLP8Bv4PlBz3sEanuXvT68VHo98YeP5ZpbvY-QzCJNGxDxw8s7rg/w167-h200/patchday2.png" width="167" />
</div></div><p>
Ayer martes de parches de marzo de 2024 de Microsoft y se han publicado
actualizaciones de seguridad para 60 vulnerabilidades, incluidas dieciocho
fallas de ejecución remota de código.
</p>
<p>
Solo se corrigen dos vulnerabilidades críticas: ejecución remota de código de
Hyper-V y fallas de denegación de servicio.
</p>
<p>
La cantidad de errores en cada categoría de vulnerabilidad se enumera a
continuación.
</p>
<ul style="text-align: left;">
<li>24 Vulnerabilidades de elevación de privilegios</li>
<li>3 vulnerabilidades de omisión de funciones de seguridad</li>
<li>18 vulnerabilidades de ejecución remota de código</li>
<li>6 vulnerabilidades de divulgación de información</li>
<li>6 vulnerabilidades de denegación de servicio</li>
<li>2 vulnerabilidades de suplantación de identidad</li>
</ul>
<p>
El recuento total de 60 fallas no incluye 4 fallas de Microsoft Edge
corregidas el 7 de marzo. Además,
<b>Microsoft no reveló ningún Zero-Day</b> como parte de las
actualizaciones del martes de parches de hoy.
</p>
<p>
Para obtener más información sobre las actualizaciones no relacionadas con la
seguridad publicadas hoy, puede revisar nuestros artículos dedicados a la
nueva actualización de
<a href="https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5035853-update-released-heres-whats-new/" rel="nofollow" target="_blank">Windows 11 KB5035853</a>
y la actualización de
<a href="https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5035845-update-released-with-9-new-changes-fixes/" rel="nofollow" target="_blank">Windows 10 KB5035845</a>.
</p>
<h3 style="text-align: left;">Defectos de interés</h3>
<ul style="text-align: left;">
<li>
<a href="https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21400" rel="nofollow" target="_blank">CVE-2024-21400</a>: Vulnerabilidad de elevación de privilegios en el contenedor confidencial
del servicio Microsoft Azure Kubernetes<br />Microsoft solucionó una
vulnerabilidad en Azure Kubernetes Service que podría permitir a los
atacantes obtener privilegios elevados y robar credenciales. <i>"Un atacante que explotara con éxito esta vulnerabilidad podría robar
credenciales y afectar recursos más allá del alcance de seguridad
administrado por Azure Kubernetes Service Confidential Containers
(AKSCC)"</i>, explica un aviso de seguridad de Microsoft.
</li>
<li>
<a href="https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-26199" rel="nofollow" target="_blank">CVE-2024-26199</a>: vulnerabilidad de elevación de privilegios en Microsoft Office. Microsoft
ha solucionado una vulnerabilidad de Office que permite a cualquier usuario
autenticado obtener privilegios de SYSTEM. <i>"Cualquier usuario autenticado podría desencadenar esta vulnerabilidad.
No requiere administrador ni otros privilegios elevados"</i>, explica Microsoft.
</li>
<li>
<a href="https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-20671" rel="nofollow" target="_blank">CVE-2024-20671</a>: Vulnerabilidad de omisión de la característica de seguridad de Microsoft
Defender. Microsoft ha solucionado una vulnerabilidad de Microsoft Defender
que podría.
<i>"Un atacante autenticado que aprovechara con éxito esta vulnerabilidad
podría impedir el inicio de Microsoft Defender"</i>, explica Microsoft.<br />Sin embargo, esto se resolverá mediante las
actualizaciones de la plataforma antimalware de Windows Defender que se
instalan automáticamente en los dispositivos Windows. Esta falla se
solucionó en la versión 4.18.24010.12 de la plataforma Antimalware.
</li>
<li>
<a href="https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21411" rel="nofollow" target="_blank">CVE-2024-21411</a>: Vulnerabilidad de ejecución remota de código en Skype for Consumer.
Microsoft ha solucionado una vulnerabilidad de ejecución remota de código en
Skype for Consumer que puede activarse mediante un enlace o una imagen
maliciosos.
<i>"Un atacante podría explotar la vulnerabilidad enviando al usuario un
enlace malicioso o una imagen maliciosa a través de un mensaje instantáneo
y luego convenciéndolo de que haga clic en el enlace o la imagen"</i>, explica Microsoft.
</li>
</ul>
<h3 style="text-align: left;">Actualizaciones de otras empresas</h3>
<ul style="text-align: left;">
<li>
AnyCubic
<a href="https://www.bleepingcomputer.com/news/security/anycubic-fixes-exploited-3d-printer-zero-day-flaw-with-new-firmware/">released new Kobra 2 firmware</a>
to fix a
<a href="https://www.bleepingcomputer.com/news/security/anycubic-3d-printers-hacked-worldwide-to-expose-security-flaw/">zero-day vulnerability exploited last month</a>.
</li>
<li>
Apple released security updates to
<a href="https://www.bleepingcomputer.com/news/apple/apple-fixes-two-new-ios-zero-days-exploited-in-attacks-on-iphones/">fix two iOS zero-days</a>.
</li>
<li>
Cisco
<a href="https://sec.cloudapps.cisco.com/security/center/publicationListing.x">released security updates</a>
for multiple products.
</li>
<li>
Fortinet
<a href="https://www.fortiguard.com/psirt">released security updates</a> for
FortiOS & FortiProxy.
</li>
<li>
Google released the
<a href="https://source.android.com/docs/security/bulletin/2024-03-01">Android March 2024 security updates</a>.
</li>
<li>
Intel
<a href="https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/advisory-guidance/register-file-data-sampling.html">released an advisory</a>
on a new Register File Data Sampling (RFDS) microarchitectural
vulnerability.
</li>
<li>
QNAP
<a href="https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-auth-bypass-flaw-in-its-nas-devices/">released security updates</a>
for an authentication bypass in QTS, QuTS hero, QuTScloud, and myQNAPcloud.
</li>
<li>
SAP has released its
<a href="https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2024.html">March 2024 Patch Day</a>
updates.
</li>
<li>
VMware
<a href="https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-sandbox-escape-flaws-in-esxi-workstation-and-fusion/">released security updates</a>
to fix critical sandbox escape vulnerabilities in VMware ESXi, Workstation,
Fusion, and Cloud Foundation.
</li>
</ul>
<p>
Fuente:
<a href="https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21411" rel="nofollow" target="_blank">BC</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-13850521388271032022024-03-13T09:07:00.002-03:002024-03-13T09:07:14.371-03:00Las pérdidas por ransomware aumentan un 74% en 2023 [FBI]<p>
Las pérdidas por ransomware en EE.UU. aumentaron a 59,6 millones de dólares en
2023, un aumento del 74% con respecto a la cifra reportada el año anterior de
34,4 millones de dólares, según el <a
href="https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf"
>informe "2023 INTERNET CRIME REPORT"</a
> [<a
href="https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf"
rel="nofollow"
target="_blank"
>PDF</a
>]
</p>
<p>
Esta cifra se calculó a partir de 2.825 incidentes de ransomware reportados al
FBI el año pasado, un aumento del 18% con respecto a 2022.
</p>
<p>
La agencia policial añadió que es probable que la cifra real sea mucho mayor,
ya que muchas infecciones de ransomware no se denuncian. Por ejemplo, cuando
el
<a
href="https://www.infosecurity-magazine.com/news/global-dismantles-hive-ransomware/"
rel="nofollow"
target="_blank"
>FBI se infiltró en la infraestructura del grupo Hive en 2023</a
>, descubrió que solo el 20% de las víctimas de Hive denunciaron a las
autoridades.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="315"
data-original-width="524"
height="385"
src="https://assets.infosecurity-magazine.com/content/span/7ec749d8-5404-42f0-bef1-a0a1688c5e56.png"
width="640"
/>
</div>
<p>
El FBI atribuyó en parte este aumento a que los actores de amenazas ajustaron
sus tácticas, como el despliegue de múltiples variantes de ransomware contra
la misma víctima y el uso de la destrucción de datos para aumentar la presión
sobre las víctimas para que negocien.
</p>
<p>
El Centro de Quejas de Delitos en Internet (IC3) del FBI recibió 1.193 quejas
de ataques de ransomware por parte de organizaciones de infraestructura
crítica.
</p>
<p>
La atención sanitaria fue el sector de infraestructura crítica más afectado
por el vector, con 249 informes. Le siguieron la manufactura crítica (218) y
las instalaciones gubernamentales (156).
</p>
<p>
La variante de ransomware que más afectó a las infraestructuras críticas el
año pasado fue LockBit (175 incidentes), seguida de ALPHV/BlackCat (100),
Akira (95), Royal (63) y Black Basta (41). En febrero de 2024, se informó que
una operación policial global
<a
href="https://www.infosecurity-magazine.com/news/operation-cronos-lockbit-takedown/"
rel="nofollow"
target="_blank"
>derribó la infraestructura de LockBit</a
>.
</p>
<p>
Por
<a
href="https://www.infosecurity-magazine.com/news/investment-fraud-biggest/"
rel="nofollow"
target="_blank"
>segundo año consecutivo</a
>, el fraude de inversiones fue el tipo de delito en Internet más costoso
rastreado por IC3, con pérdidas que aumentaron de 3.310 millones de dólares en
2022 a 4.570 millones de dólares en 2023.
</p>
<p>
El segundo vector más lucrativo para los atacantes fue el compromiso del
correo electrónico empresarial (BEC), con pérdidas de 2.900 millones de
dólares registradas en 21.489 quejas. Esto representa un pequeño aumento de
las pérdidas de 2.700 millones de dólares estimadas para BEC en 2022.
</p>
<p>
En tercer lugar se ubicaron las estafas de tecnología/atención al cliente y
suplantación de identidad del gobierno, responsables de más de 1.300 millones
de dólares en pérdidas. Estas estafas, que normalmente se perpetran desde
centros de llamadas, se dirigieron abrumadoramente a adultos mayores: el 40%
de los denunciantes tenían más de 60 años y este grupo sufrió el 58% de las
pérdidas.
</p>
<p>
El phishing fue el delito en Internet denunciado con más frecuencia el año
pasado, con casi 300.000 denuncias, un ligero descenso con respecto a 2022. Le
siguió la violación de datos personales, con 55.851 denuncias.
</p>
<p>
El FBI recibió un total de 880.418 denuncias de delitos en Internet en 2023,
un 10% más que en 2022. Las pérdidas estimadas aumentaron un 22% en el mismo
período, de 10.300 millones de dólares en 2022 a 12.500 millones de dólares en
2023.
</p>
<p>
Fuente:
<a
href="https://www.infosecurity-magazine.com/news/fbi-us-ransomware-losses-surge/"
rel="nofollow"
target="_blank"
>InfoSecurity</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-31513958296133642322024-03-12T14:12:00.001-03:002024-03-12T14:12:04.315-03:0012 millones de claves y secretos filtrados en GitHub<p>
Según los expertos en ciberseguridad de
<a
href="https://www.gitguardian.com/state-of-secrets-sprawl-report-2024"
rel="nofollow"
target="_blank"
>GitGuardian</a
>, usuarios de GitHub expusieron accidentalmente 12,8 millones de secretos
confidenciales y de autenticación en más de 3 millones de repositorios
públicos durante 2023, y la gran mayoría sigue siendo válida después de cinco
días.
</p>
<p>
La empresa envió 1,8 millones de alertas de correo electrónico gratuitas a
quienes expusieron secretos, y solo un pequeño 1,8% de los contactados tomaron
medidas rápidas para corregir el error.
</p>
<p>
Los secretos expuestos incluyen contraseñas de cuentas, claves API,
certificados TLS/SSL, claves de cifrado, credenciales de servicios en la nube,
tokens OAuth y otros datos confidenciales que podrían brindar a actores
externos acceso ilimitado a diversos recursos y servicios privados, lo que
provocaría filtraciones de datos y daños financieros. .
</p>
<p>
<b
>Un informe de Sophos de 2023 destacó que las
<a
href="https://news.sophos.com/en-us/2023/08/23/active-adversary-for-tech-leaders/"
rel="nofollow"
target="_blank"
>credenciales comprometidas representaron el 50%</a
>
de la causa raíz de todos los ataques registrados en la primera mitad del
año,</b
>
seguidas de la explotación de vulnerabilidades, que fue el método de ataque en
el 23 % de los casos.
</p>
<p>
Los detectores específicos que pueden identificar y filtrar secretos filtrados
en categorías más tangibles indican una exposición masiva de la API de Google
y las claves de Google Cloud, las credenciales de MongoDB, los tokens de bot
de OpenWeatherMap y Telegram, las credenciales de MySQL y PostgreSQL y las
claves de GitHub OAuth.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="391"
data-original-width="800"
height="313"
src="https://www.bleepstatic.com/images/news/u/1220909/2024/AI/02/generic.png"
width="640"
/>
</div>
<p>
El 2,6% de los secretos expuestos se revocan en la primera hora, pero un
enorme 91,6% siguen siendo válidos incluso después de cinco días, que es
cuando GitGuardian deja de monitorear su estado.
</p>
<p>
Riot Games, GitHub, OpenAI y AWS parecen tener los mejores mecanismos de
respuesta para ayudar a detectar confirmaciones incorrectas y remediar la
situación.
</p>
<p>
El mes pasado, GitHub habilitó la protección push de forma predeterminada para
evitar la exposición accidental de secretos al enviar código nuevo a la
plataforma.
</p>
<p>
Fuente:
<a
href="https://www.bleepingcomputer.com/news/security/over-12-million-auth-secrets-and-keys-leaked-on-github-in-2023/"
rel="nofollow"
target="_blank"
>BC</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-36653408623545675212024-03-11T15:06:00.002-03:002024-03-11T15:06:00.131-03:00Encuentran 150.000 Fortinet FortiOS vulnerables a CVE-2024-21762 (9.8)<p>
Los análisis en Internet muestran que aproximadamente 150.000 sistemas de
Fortinet FortiOS y FortiProxy secure web gateway son vulnerables a
<b>CVE-2024-21762, un problema de seguridad crítico que permite ejecutar
código sin autenticación.</b>
</p>
<p>
La Agencia
<a href="https://www.bleepingcomputer.com/news/security/new-fortinet-rce-bug-is-actively-exploited-cisa-confirms/" rel="nofollow" target="_blank">CISA confirmó</a>
el mes pasado que los atacantes están explotando activamente la falla y la
agregó a su
<a href="https://www.cisa.gov/known-exploited-vulnerabilities-catalog" rel="nofollow" target="_blank">catálogo de Vulnerabilidades Explotadas Conocidas (KEV)</a>.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="295" data-original-width="800" height="236" src="https://i.imgur.com/kPnXsjD.png" width="640" />
</div>
<h3>Versiones vulnerables en todo el mundo</h3>
<p>
Casi un mes después de que Fortinet abordara CVE-2024-21762 (<a href="https://www.fortiguard.com/psirt/FG-IR-24-015">FG-IR-24-015</a>), The Shadowserver Foundation anunció el jueves que encontró casi 150.000
dispositivos vulnerables. Piotr Kijewski de Shadowserver
<a href="https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may-impact-150-000-exposed-devices/" rel="nofollow" target="_blank">le dijo a BleepingComputer</a>
que sus escaneos buscan versiones vulnerables, por lo que la cantidad de
dispositivos afectados puede ser menor si los administradores aplicaran
mitigaciones en lugar de actualizar.</p>
<p>
Un atacante remoto podría explotar
<a href="https://nvd.nist.gov/vuln/detail/CVE-2024-21762" rel="nofollow" target="_blank">CVE-2024-21762</a>
(puntuación de gravedad de 9,8 según NIST) enviando solicitudes HTTP
especialmente diseñadas a máquinas vulnerables.
</p>
<p>
Según datos de Shadowserver, los dispositivos más vulnerables, más de 24.000,
se encuentran en Estados Unidos, seguido de India, Brasil y Canadá.
</p>
<p>
Los detalles sobre los actores de amenazas que explotan activamente
CVE-2024-21762 son actualmente limitados, ya que las plataformas públicas no
muestran dicha actividad o la vulnerabilidad está siendo aprovechada en
ataques selectos por parte de adversarios más sofisticados.
</p>
<p>
Las empresas pueden comprobar si sus sistemas VPN SSL son vulnerables a este
problema ejecutando un sencillo
<a href="https://github.com/BishopFox/cve-2024-21762-check" rel="nofollow" target="_blank">script Python</a>
desarrollado por investigadores de la empresa de seguridad ofensiva BishopFox.
</p>
<p>
Fuente:
<a href="https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may-impact-150-000-exposed-devices/" rel="nofollow" target="_blank">BC</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-27511619761796849012024-03-11T09:00:00.001-03:002024-03-11T09:00:00.135-03:00Investigación demuestra que ataque remoto estilo Stuxnet es posible con malware de PLC basado en web<p>
Un equipo de investigadores ha desarrollado malware diseñado para atacar
controladores lógicos programables (PLC) modernos en un esfuerzo por demostrar
que se pueden lanzar ataques remotos estilo Stuxnet contra dichos sistemas de
control industrial (ICS).
</p>
<p>
Los investigadores son del Instituto de Tecnología de Georgia y han publicado
un
<a
href="https://www.ndss-symposium.org/wp-content/uploads/2024-49-paper.pdf"
rel="nofollow"
target="_blank"
>artículo "Compromising Industrial Processes using Web-Based Programmable Logic
Controller Malware"</a
> que detalla este proyecto de seguridad de ICS. Los autores
son Ryan Pickren, Tohid Shekari, Saman Zonouz, Raheem Beyah.
</p>
<p>
En el caso de los PLC tradicionales, un atacante puede apuntar a la capa
lógica de control o a la capa de firmware. Los ataques de firmware pueden
proporcionar un alto nivel de control del dispositivo y son difíciles de
detectar, pero el malware puede ser difícil de implementar. El malware de
lógica de control es más fácil de implementar, pero también de detectar. Ambos
escenarios requieren que el atacante tenga acceso privilegiado a la red
industrial de la organización objetivo.
</p>
<p>
En el caso de los PLC modernos, muchos incluyen un servidor web y se pueden
configurar, controlar y monitorear de forma remota a través de API dedicadas y
un navegador web normal que sirve como interfaz hombre-máquina (HMI).
</p>
<p>
Si bien estos PLC modernos pueden proporcionar muchos beneficios a las
organizaciones, los investigadores de Georgia Tech advierten que también
pueden ampliar significativamente la superficie de ataque de los ICS.
</p>
<p>
Para demostrar los riesgos, los investigadores desarrollaron lo que llaman
malware PLC basado en web, que reside en la memoria del controlador, pero que
los dispositivos equipados con navegador presentes en el entorno ICS ejecutan
en el lado del cliente. El malware puede abusar de las API web legítimas del
PLC para interrumpir los procesos industriales o dañar la maquinaria.
</p>
<p>
Este nuevo malware para PLC puede ser fácil de implementar y difícil de
detectar. La infección inicial se puede realizar a través del acceso físico o
de red a la HMI basada en web de destino, pero el malware también se puede
implementar directamente a través de Internet secuestrando la HMI utilizando
vulnerabilidades de origen cruzado.
</p>
<p>
Para lograr persistencia, este nuevo tipo de malware de PLC aprovecha los
trabajadores de servicios, que permiten que el código JavaScript se introduzca
en la memoria caché del navegador y se ejecute independientemente de la página
web que lo instaló. Además, seguirán ejecutándose hasta 24 horas después de
que el archivo haya sido eliminado del servidor. Con este método, el malware
puede sobrevivir a actualizaciones de firmware, nuevas HMI basadas en web e
incluso reemplazos de hardware.
</p>
<p>
Una vez que se ha implementado, las capacidades del malware dependen del poder
de las API legítimas basadas en web que se utilizan, y algunas de estas API
son muy poderosas. Por ejemplo, se pueden aprovechar para sobrescribir
directamente valores de entrada/salida, abusar de las entradas HMI, cambiar
puntos de ajuste y configuraciones de seguridad, falsificar la pantalla HMI,
actualizar configuraciones del administrador e incluso para la filtración de
datos en tiempo real.
</p>
<p>
Los investigadores dijeron que el malware también puede tener una conexión de
comando y control (C&C), incluso si el PLC objetivo está en una red
aislada.
</p>
<p>
Una vez que el actor de la amenaza lleva a cabo las tareas deseadas, puede
cubrir sus huellas haciendo que el malware se destruya a sí mismo, sobrescriba
la carga útil maliciosa con una carga útil benigna, cancele el registro de
todos los trabajadores del servicio y, potencialmente, incluso realice un
restablecimiento de fábrica del dispositivo.
</p>
<p>
<b
>Los investigadores demostraron su trabajo desarrollando un malware llamado
IronSpider,</b
>
que diseñaron para atacar los PLC de Wago. El ataque simulado implicó la
explotación de vulnerabilidades previamente desconocidas para implementar el
malware cuando el operador objetivo mira un banner publicitario especialmente
diseñado. El malware puede sabotear un motor industrial para causar daños
mientras falsifica la pantalla HMI para mostrar valores normales y evitar
levantar sospechas.
</p>
<p>
Algunas de las
<a
href="https://www.securityweek.com/critical-vulnerabilities-allow-hackers-to-take-full-control-of-wago-plcs"
rel="nofollow"
target="_blank"
>vulnerabilidades de Wago PLC</a
>
fueron descritas el año pasado luego de una conversación con Ryan Pickren, uno
de los investigadores de Georgia Tech involucrados en este proyecto de malware
para PLC.
</p>
<p>
<b
>IronSpider ha sido comparado con el notorio malware Stuxnet, que atacó el
programa nuclear de Irán hace más de una década.</b
>
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="422"
data-original-width="800"
height="338"
src="https://www.securityweek.com/wp-content/uploads/2024/03/PLC-malware.png"
width="640"
/>
</div>
<p>
<i
>"Stuxnet saboteó las instalaciones nucleares iraníes modificando la señal
de salida analógica a unidades de frecuencia variable que controlaban las
centrifugadoras de enriquecimiento de uranio. Un resultado directo de este
sabotaje fue la destrucción física de más de 1.000 centrífugas y una
reducción del 30% en la capacidad operativa de las instalaciones"</i
>, dijeron los investigadores en su artículo.
</p>
<p>
Agregaron:
<i
>"Nuestro prototipo de malware, IronSpider, pudo lograr un ataque
fundamentalmente similar utilizando un enfoque drásticamente diferente.
Stuxnet atacó los PLC mediante malware de lógica de control que implementó a
través de estaciones de trabajo de ingeniería comprometidas […]. IronSpider,
sin embargo, utilizó malware basado en web que implementó utilizando un
sitio web malicioso sin necesidad de comprometer ningún sistema
periférico"</i
>.
</p>
<p>
Si bien el ataque se demostró contra un producto Wago, los investigadores
determinaron que este tipo de malware de PLC también se puede utilizar contra
PLC de Siemens, Emerson, Schneider Electric, Mitsubishi Electric y Allen
Bradley. Los ataques contra estos controladores implican la explotación de
vulnerabilidades recién descubiertas o conocidas previamente. En algunos
casos, para un ataque se requieren contraseñas FTP, protocolos inseguros o
información privilegiada.
</p>
<p>
Los expertos han creado un marco independiente del proveedor que se puede
utilizar para crear y analizar malware de PLC basado en web.
</p>
<p>
<i
>"Este marco explora cada etapa utilizando estrategias ampliamente
aplicables que pueden usarse contra la mayoría de los modelos de PLC
modernos y presenta una descripción general de cómo el código frontal
malicioso puede subvertir la integridad de los entornos ICS al comprometer
metódicamente las propiedades web de los PLC. Este marco se puede utilizar
como punto de referencia en estudios futuros en cualquier proveedor y modelo
de PLC"</i
>, explicaron los investigadores.
</p>
<p>
Fuente:
<a
href="https://www.securityweek.com/remote-stuxnet-style-attack-possible-with-web-based-plc-malware-researchers/"
rel="nofollow"
target="_blank"
>SecurityWeek</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-64193944765805409262024-03-10T12:07:00.001-03:002024-03-10T12:07:00.127-03:00Microsoft planea eliminar los reinicios después de las actualizaciones de Windows<p>Cuando hay alguna actualización pendiente de Windows, todos odiamos mucho cuando
llega el momento en el que se debe reiniciar. Ya sea porque estamos trabajando o
jugando, esta actualización pendiente interrumpe nuestras actividades y sobre
todo molesta a aquellas personas que odian ver un punto naranja en su barra de
tareas. Esto sobre todo ocurre una vez al mes con las actualizaciones periódicas
de seguridad, pero está a punto de ser algo del pasado.</p><p>
Tal y como han informado desde
<a href="https://www.windowscentral.com/software-apps/windows-11/microsoft-wants-to-update-your-windows-11-pc-without-forcing-you-to-reboot">Windows Central</a>, Microsoft está trabajando en un sistema de actualización para Windows 11
que evite estos reinicios.</p>
Todo esto se conseguirá con los 'parches en caliente' que ya se puede ver en
otros productos de la compañía como por ejemplo Xbox o Windows Server. Ahora
aterrizaría en nuestras computadoras personales.
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="444" data-original-width="800" height="355" src="https://i.blogs.es/b4d161/actualizcion-/1366_2000.webp" width="640" />
</div>
<p>
El kit de la cuestión radica en la última versión de Windows 11 que ha sido
publicada en el canal de desarrolladores. En este caso, los desarrolladores
están probando una opción llamada
<i>'Seguridad basada en la virtualización'</i> donde al activarse la cadena de
compilación de Windows pasa a ser
<i>"ge_release_svc_hotpatch_prod1.240211-0859". </i><br /><br />
Con estos parches en caliente, Microsoft explica que van a parchear
<i>"el código en memoria de los procesos en ejecución"</i> evitando tener que
reiniciarlos. Aunque es importante destacar que esto es algo que únicamente
afectaría a los parches de seguridad y no a las grandes actualizaciones de
funcionalidades, como por ejemplo
<a href="https://www.genbeta.com/actualidad/nueva-actualizacion-windows-11-llega-repleta-novedades-moment-5-ofrece-ia-usar-tu-smartphone-como-webcam">Moment 5</a>
de manera reciente.</p><p>
Pero tampoco es todo tan "de color de rosas". El reinicio será necesario cada
pocos meses, pero podremos estar tranquilos de que a lo largo del año
reiniciaremos solo tres o cuatro veces por este motivo, mientras que
actualmente prácticamente hay que hacerlo mensualmente. E igualmente, si hay
una actualización sumamente importante, el reinicio es obligatorio. Esto solo
afecta a los pequeños parches que se lanzan cada cierto tiempo.</p><p>
¿Cuándo llegará a ser esto realidad? Esto es lo que todos queremos saber para
poder ahorrarnos reiniciar nuestra computadora de manera periódica. Y la
realidad es que todo apunta a tener que esperar a
<b>Windows 11 24H2 que se lanzará a finales de año.</b> Esta llegará cargada
de novedades centradas en inteligencia artificial como se rumoreaba para
Windows 12 así como estos parches calientes.</p><p>
Fuente:
<a href="https://www.genbeta.com/windows/microsoft-quiere-eliminar-parte-molesta-actualizaciones-windows-testea-windows-11-24h2">Genbeta</a></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com2tag:blogger.com,1999:blog-14423462.post-86446465941124398472024-03-09T16:06:00.003-03:002024-03-09T16:06:31.509-03:00Fraudes relacionados con criptos aumentaron un 53% en 2023 [FBI]<p>
La Oficina Federal de Investigación de los Estados Unidos (FBI) informó que el
fraude de inversión relacionado con criptomonedas constituyó la mayor parte de
las pérdidas de inversión dentro de los Estados Unidos en 2023.
</p>
<p>
En el
<a href="https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf"
>informe "2023 INTERNET CRIME REPORT"</a
>, el FBI declaró que las pérdidas de inversiones relacionadas con criptos
aumentaron de 2.57 mil millones de dólares en 2022 a alrededor de 3.94 mil
millones de dólares en 2023, lo que representa un aumento del 53%.
</p>
<p>
Mientras tanto, la cantidad total perdida de todas las inversiones en 2023
ascendió a 4,570 millones de dólares. Esto significa que los 3,940 millones de
dólares perdidos en fraudes relacionados con criptomonedas representaron
aproximadamente el 86% de todas las pérdidas por fraudes de inversión en la
nación.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="507"
data-original-width="800"
height="406"
src="https://s3.cointelegraph.com/uploads/2024-03/18bc29f2-65b2-4ad7-aad7-252cc0a8811f.png"
width="640"
/>
</div>
<p>
El FBI resaltó que un número cada vez mayor de víctimas se ven arrastradas a
estafas relacionadas con las criptomonedas atraídas por la promesa de obtener
importantes beneficios de sus inversiones.
</p>
<p>
<i
>"Estas estafas están diseñadas para atraer a las personas objetivo con la
promesa de lucrativos rendimientos de sus inversiones".</i
>
</p>
<p>
Una de las estafas cripto más comunes de las que la gente está
<a
href="https://es.cointelegraph.com/news/cryptocurrency-exchange-debiex-romance-scam-allegations"
>siendo víctima son las estafas románticas</a
>. En estos casos, un criminal adopta una identidad falsa en línea para
ganarse el afecto y la confianza de una víctima antes de crear una historia
para
<a
href="https://es.cointelegraph.com/news/crypto-romance-scammers-adopt-approval-phishing-scams-chainalysis"
>persuadir a la víctima a enviar criptos</a
>, sólo para desaparecer después.
</p>
<p>
En diciembre de 2023, Chainalysis informó que las estafas románticas
presuntamente fueron la causa de al menos 374 millones de dólares en criptos
robadas en 2023. Mientras tanto, el 1° de enero, Cointelegraph informó
que más de 324.000
<a
href="https://es.cointelegraph.com/news/crypto-phishing-scams-2023-300-million-dollars-324k-victims-report"
>usuarios de criptos fueron víctimas de estafas de phishing en 2023</a
>, con alrededor de USD 295 millones en activos digitales perdidos por
vaciadores de monederos.
</p>
<p>
Sin embargo, el aumento en el número de ciudadanos que son víctimas de estafas
con criptomonedas no es sólo en los EE.UU.; otros países de todo el mundo
también están experimentando un problema similar.
</p>
<p>
En abril de 2023, la Comisión Australiana de Competencia y Consumo informó que
los australianos perdieron 221.3 millones de dólares australianos (146.9
millones de dólares) por estafas de inversión
<a
href="https://es.cointelegraph.com/news/australian-crypto-scams-increased-by-over-162-with-nearly-150m-lost"
>en las que se utilizaron criptomonedas como método de pago en 2022</a
>, un aumento del 162.4% desde 2021.
</p>
<p>
Fuente:
<a
href="https://es.cointelegraph.com/news/crypto-investment-fraud-fbi-united-states-scams"
rel="nofollow"
target="_blank"
>CoinTelegraph</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-64408032637513172312024-03-08T20:52:00.000-03:002024-03-08T20:52:00.129-03:00Crecen las cadenas de infección usando archivos PDF<p>
<a
href="https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads/"
rel="nofollow"
target="_blank"
>McAfee Labs ha observado</a
>
recientemente un aumento significativo en la distribución de malware a través
de archivos PDF.
</p>
<p>
Ciertas instancias de malware pueden residir en correos electrónicos
aparentemente inofensivos, particularmente en los archivos PDF adjuntos que
los acompañan. La tendencia posterior observada en los últimos tres meses se
refiere a la prevalencia de malware distribuido a través de vectores
ejecutables no portátiles (no PE).
</p>
<h3 style="text-align: left;">¿Por qué PDF?</h3>
<p>
Al implementar medidas de bloqueo de macro para los archivos de Office
entregados por Internet, los actores de amenazas se vieron obligados a idear
métodos alternativos para la distribución de malware por correo electrónico.
</p>
<p>
La compleja estructura de los archivos PDF los hace susceptibles a la
explotación, lo que plantea importantes desafíos a la hora de detectar
contenido malicioso en su interior. Como formato de archivo comúnmente
empleado y distribuido a través de archivos adjuntos, los PDF representan una
vía atractiva para que los atacantes engañen a los usuarios haciéndoles creer
que son benignos.
</p>
<p>
Al explotar esta confianza, los atacantes pueden crear fácilmente malware
basado en PDF, que a menudo contiene cargas útiles alojadas en sitios web
maliciosos. Tras la interacción del usuario, como hacer clic en un enlace,
estos archivos PDF descargan el <i>payload</i> dañino.
</p>
<h3 style="text-align: left;">Cadena de infección</h3>
<p>
Esta cadena de infección emergente que involucra, entre otros, al Agente
Tesla, se inicia a partir de un correo electrónico que contiene un archivo PDF
adjunto, que posteriormente facilita la difusión de la carga útil final.
</p>
<p>
En la versión desactualizada y sin parches de Acrobat Reader, los archivos PDF
ejecutan directamente JavaScript incrustado usando MSHTA, iniciando
posteriormente PowerShell, lo que facilita la inyección de procesos. Por el
contrario, en la última versión de Acrobat Reader, los archivos PDF no pueden
ejecutar JavaScript directamente. En lugar de ello, redireccionan a un sitio
web malicioso, desde donde se descarga el <i>script</i>. El proceso posterior
sigue siendo coherente con el caso anterior.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="414"
data-original-width="782"
height="339"
src="https://www.mcafee.com/blogs/wp-content/uploads/2024/03/Infection-Chain.png"
width="640"
/>
</div>
<p>
Al examinar la estructura interna del PDF, se descubrió que dentro de uno de
los siete objetos, se identificaron algunos datos hexadecimales y una URL
incrustada. Los atacantes utilizan las URL de Bitly para ocultar enlaces
maliciosos, lo que los hace más difíciles de detectar.
</p>
<p>
Esto es especialmente útil en esquemas de phishing en los que engañan a los
usuarios para que revelen información confidencial. Los enlaces dinámicos de
Bitly permiten a los atacantes cambiar de destino, mejorando su capacidad para
evadir la detección. Además, los atacantes aprovechan la confianza asociada a
Bitly para mejorar el éxito de sus tácticas de ingeniería social.
</p>
<p>
Fuente:
<a
href="https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads/"
rel="nofollow"
target="_blank"
>Mcafee</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-45852753990441600532024-03-07T12:00:00.001-03:002024-03-07T12:00:00.123-03:00Aprovechan vulnerabilidades Zero-Day en iOS (Actualiza!)<div class="separator"><div class="separator" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: center;">
<img border="0" data-original-height="201" data-original-width="220" height="183" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh6clbZpzgUl3ND3tMJbtESS6Rw2oOw_E3WG99_rhGM3oCUIOzGMwcvNjoiN2Jw91dJK-zCIx2S-_gQy8lNTLm3FT_p3ptSRHtkI6bGeEjs7HvdX8XFBvIT0hE0lLNKn2HcNQjk2GcIbgf8ei-PdhFiEUegEb97rIPn84XTleZxXgB1z9xbN5q6RA/w200-h183/adobe-flash-zero-day-header_2.jpg" width="200" />
</div></div><p>
Se han descubierto dos vulnerabilidades Zero-Day en las versiones iOS y iPadOS
17.4, lo que permite a los actores de amenazas eludir las protecciones de la
memoria y ejecutar operaciones arbitrarias de lectura y escritura del kernel
en los dispositivos afectados.
</p>
<p>
A estas vulnerabilidades se les ha asignado CVE-2024-23225 y CVE-2024-23296 y
Apple ya ha proporcionando parches para su resolución.
</p>
<p>
Además, Apple reconoció los informes que sugieren que los actores de amenazas
pueden haber explotado estas vulnerabilidades de forma activa.
</p>
<p>
<b>CVE-2024-23225:</b> esta vulnerabilidad surge en el kernel de iOS debido a
un problema de corrupción de la memoria, lo que permite a los actores de
amenazas ejecutar operaciones arbitrarias de lectura y escritura del kernel
eludiendo las protecciones del kernel.
</p>
<p>
<b>CVE-2024-23296:</b> RTKit sirve como el sistema operativo en tiempo real de
Apple, ampliamente utilizado en varios dispositivos, incluidos iPhone, iPad y
Apple Watch.
</p>
<p>
Esta vulnerabilidad refleja el problema mencionado anteriormente, permitiendo
a los actores de amenazas ejecutar operaciones de lectura/escritura
arbitrarias en el kernel, evitando las protecciones del kernel.
</p>
<p>
Los productos afectados incluyen iPhone XS y modelos posteriores, iPad Pro de
12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas,
iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de
tercera generación y posteriores, iPad de sexta generación y posteriores y
iPad. mini 5ta generación y posteriores. Mac <u>no</u> es afectado.</p>
<p>
Además, Apple también ha abordado CVE-2024-23256 y CVE-2024-23243, que estaban
asociados con la accesibilidad y la navegación privada segura. Apple insta a
sus usuarios a instalar rápidamente los últimos parches y actualizaciones de
seguridad para mitigar el riesgo de explotación por parte de actores de
amenazas.
</p>
<p>
Fuente:
<a href="https://firsthackersnews.com/ios-0-day/" rel="nofollow" target="_blank">Firsthackersnews</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-2687954268912603652024-03-07T09:00:00.000-03:002024-03-07T09:07:41.767-03:00Actualizaciones críticas para VMware ESXi, Workstation y Fusion<div class="separator"><div class="separator" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: center;">
<img border="0" data-original-height="445" data-original-width="800" height="178" src="https://techdecodetutorials.com/wp-content/uploads/2021/08/VMware-Issued-Patches-800x445.jpg" width="320" />
</div></div><p>
VMware ha lanzado parches para abordar cuatro fallas de seguridad que afectan
a ESXi, Workstation y Fusion, incluidas <b>dos fallas críticas</b> que podrían
provocar la ejecución de código.
</p>
<p>
Rastreadas como CVE-2024-22252 y CVE-2024-22253, las vulnerabilidades se han
descrito como errores de uso después de la liberación en el controlador USB
XHCI. Tienen una puntuación CVSS de 9,3 para Workstation y Fusion, y de 8,4
para sistemas ESXi.
</p>
<p>
<i>"Un actor malicioso con privilegios administrativos locales en una máquina
virtual puede aprovechar este problema para ejecutar código como el proceso
VMX de la máquina virtual que se ejecuta en el host"</i>,
<a href="https://www.vmware.com/security/advisories/VMSA-2024-0006.html" rel="nofollow" target="_blank">dijo la compañía en su aviso</a>.
</p>
<p>
<i>"En ESXi, la explotación está contenida dentro del entorno limitado de VMX,
mientras que, en Workstation y Fusion, esto puede llevar a la ejecución de
código en la máquina donde está instalado Workstation o Fusion".</i>
</p>
<p>
A varios investigadores de seguridad asociados con Ant Group Light-Year
Security Lab y QiAnXin se les atribuye el mérito de descubrir e informar de
forma independiente CVE-2024-22252. Los investigadores de seguridad VictorV y
Wei han sido reconocidos por informar CVE-2024-22253.
</p>
<p>
El proveedor de servicios de virtualización propiedad de Broadcom también
solucionó otras dos deficiencias:
</p>
<p></p>
<ul style="text-align: left;">
<li>
CVE-2024-22254 (puntuación CVSS: 7,9): una vulnerabilidad de escritura fuera
de límites en ESXi que un actor malicioso con privilegios dentro del proceso
VMX podría aprovechar para desencadenar un escape de sandbox.
</li>
<li>
CVE-2024-22255 (puntuación CVSS: 7,1): una vulnerabilidad de divulgación de
información en el controlador USB UHCI que un atacante con acceso
administrativo a una máquina virtual puede aprovechar para filtrar memoria
del proceso vmx.
</li>
</ul>
<p>
Los problemas se han solucionado en las siguientes versiones, incluidas
aquellas que han llegado al final de su vida útil (EoL) debido a la gravedad
de estos problemas:
</p>
<ul style="text-align: left;">
<li>
ESXi 6.5 -
<a href="https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650-202403001.html">6.5U3v</a>
</li>
<li>
ESXi 6.7 -
<a href="https://docs.vmware.com/en/VMware-vSphere/6.7/rn/esxi670-202403001.html">6.7U3u</a>
</li>
<li>
ESXi 7.0 -
<a href="https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-esxi-70u3p-release-notes/index.html">ESXi70U3p-23307199</a>
</li>
<li>
ESXi 8.0 -
<a href="https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-esxi-80u2b-release-notes/index.html">ESXi80U2sb-23305545</a>
and
<a href="https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-esxi-80u1d-release-notes/index.html">ESXi80U1d-23299997</a>
</li>
<li>VMware Cloud Foundation (VCF) 3.x</li>
<li>Workstation 17.x - 17.5.1</li>
<li>Fusion 13.x (macOS) - 13.5.1</li>
</ul>
<p>
Fuente:
<a href="https://thehackernews.com/2024/03/vmware-issues-security-patches-for-esxi.html" rel="nofollow" target="_blank">THN</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com1tag:blogger.com,1999:blog-14423462.post-31234197645029524292024-03-06T09:00:00.000-03:002024-03-06T09:00:00.134-03:00En España será ilegal fotocopiar el DNI (APRENDAMOS!)<p>
La Agencia Española de Protección de Datos considera que esta es una mala
práctica que llevan a cabo hoteles e instituciones.
<b>Multas de hasta 100.000 euros por fotocopiar o fotografiar el DNI.</b>
</p>
<p>
El Documento Nacional de Identidad (DNI) contiene una serie de datos
personales que se requieren para realizar la mayoría de trámites. Es frecuente
que ante la llegada a un hotel, por ejemplo, en recepción se pida el DNI al
huésped para fotocopiar. Pues esta es una mala práctica según señala la
Agencia Española de Protección de Datos (AEPD), que en algunos casos puede
implicar una multa de 100.000 euros.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="450" data-original-width="800" height="360" src="https://noticiastrabajo.huffingtonpost.es/uploads/images/2024/02/dni-foto-fotocopia-multa-1200-675.webp" width="640" /></div>
<p>
Sin embargo, los hoteles no son los únicos lugares en donde los usuarios se
encuentran con que tienen que dejar su DNI para fotocopiar o que piden que se
envíe una foto, esto también ocurre en algunas instituciones públicas, e
incluso en los bancos. El objetivo es identificar a la persona pero bastaría
con solo enseñarlo, ya que si se hace una copia, según la AEPD se genera un
importante riesgo para la seguridad del ciudadano.
</p>
<p></p>
<h3 style="text-align: left;"><p>Por qué sería ilegal fotocopiar el DNI</p></h3>
La advertencia de la Agencia Española de Protección de Datos apunta a que en
muchos casos se pide una fotocopia del DNI y no es realmente necesario. Cada vez
más se ha ido generalizando este práctica para hechos tan simples como recibir
un paquete en casa, un duplicado de la tarjeta SIM del teléfono u otras
situaciones, más comunes como la de registrarse en un hotel. Por este motivo, la
AEPD da la alerta y advierte de que se están tratando datos sensibles de las
personas que pueden provocar estafas e incrementar la ciberdelincuencia.
<p></p>
<h3 style="text-align: left;">
¿Es realmente necesario pedir una fotocopia del DNI?
</h3>
<p>
La <a href="https://www.aepd.es/">AEPD</a> señala que
<i>"si existen otras medidas menos gravosas que cumplen con el fin de la
identificación, lo recomendable es abstenerse de fotocopiar el DNI de una
persona"</i>. Debido a que
<i>"su uso indebido o sin las garantías suficientes puede tener múltiples
efectos desfavorables para el titular de los datos"</i>. Se trata de cumplir con el principio de "minimización de datos".<br /><br />Este
principio está recogido en el artículo 5 del
<a href="https://www.boe.es/doue/2016/119/L00001-00088.pdf">Reglamento General de Protección de Datos</a>
y hace referencia a que los datos deben ser «adecuados, pertinentes y
limitados a lo necesario en relación con los fines para los que son tratados«.
No cumplir con este principio, puede generar multa de miles de euros a las
empresas.
</p>
<h3 style="text-align: left;">Multas de hasta 100.000 euros de la AEPD</h3>
<p>En conclusión, solicitar el DNI y fotocopiarlo es una práctica que no puede
hacerse de forma general, ya que la AEPD considera que los datos que se deben
solicitar al usuario son los estrictamente necesarios para el fin que se piden y
el DNI contiene mucha información, más allá del nombre y apellidos o
<a href="https://noticiastrabajo.huffingtonpost.es/como/es-peligroso-dar-numero-dni/">número</a>. Tener esta información podría facilitar, por ejemplo, la suplantación de
identidad de una persona para cometer algún delito.</p><p></p>
Hasta el momento,
la multa más alta que se ha impuesto por considerar que esta práctica es ilegal,
alcanza los 100.000 euros. Existen otros casos, como el del hotel Marins Playa,
empresa a la que se ha multado con 30.000 euros por esta práctica y el caso de
Orange, que tuvo que pagar en marzo de 2023, 100.000 euros porque solicitaban
una copia de ambas caras del DNI para entregar sus paquetes.
<p></p>
<p>
Fuente:
<a href="https://noticiastrabajo.huffingtonpost.es/sociedad/multas-de-hasta-100000-euros-por-fotocopiar-o-fotografiar-el-dni/" rel="nofollow" target="_blank">Huffingtonpost</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-28389170379563381052024-03-05T08:46:00.012-03:002024-03-07T08:34:38.227-03:00ALPHV/BlackCat está(ba) de vuelta y los vuelven a bajar (exit scam)<p>
En diciembre pasado, las autoridades estadounidenses cerraron con éxito los
sitios web del grupo de ransomware y el FBI desarrolló una herramienta de
descifrado. A pesar de este revés, el grupo se recuperó rápidamente y reanudó
sus actividades.
</p>
<p>
<i>"Desde mediados de diciembre de 2023, de las casi 70 víctimas filtradas, el
sector de la salud ha sido el más comúnmente victimizado"</i>, dijeron las agencias de seguridad, y especularon que es una consecuencia de
la publicación del administrador de ALPHV/BlackCat alentando a sus afiliados a
apuntar a los hospitales después de la crisis de diciembre.
</p>
<p>
El miércoles, el grupo publicó una declaración en su sitio de filtración,
afirmando que robaron 6 TB de datos confidenciales de la empresa médica Change
Healthcare incluido PII de los pacientes, números de teléfono,
direcciones, números de Seguro Social, correos electrónicos, etc.
</p>
<p>
Este ataque ha sido uno de los más perturbadores en años, paralizando
farmacias en todo Estados Unidos (incluidas las que se encuentran en
hospitales) y provocando graves problemas en la entrega de medicamentos
recetados en todo el país durante 10 días y contando.
</p>
<p>
<b>Esto desató una disputa dentro del mundo criminal:</b> uno de los afiliados
a ALPHV detrás del ataque aparece como receptor de una transacción de 22
millones de dólares que parece ser el pago del rescate (350 BTC) pero dice que
los administradores de ALPHV no le entregaron su parte.
</p>
<p>
El 3 de marzo, un usuario del foro RAMP, el supuesto afiliado a ALPHV, informó
que no había recibido la remuneración acordada por el ataque a Change
Healtcare y también indicó que la billetera del administrador de RaaS había
sido vaciada.
</p>
<div>
Pero, hace unas horas y ¿producto de la investigación? el FBI se apoderó del
nuevo y último servicio oculto activo de Alphv/Blackcat, que estaba en
funcionamiento hasta ayer. Por ahora se desconoce si los dos eventos (el
ataque a Change Healthcare) y la incautación del sitio están relacionados pero
es probable.
</div>
<p>
<b>IMPORTANTE dado que la gente sigue cayendo en el encubrimiento de
ALPHV/BlackCat: ALPHV/BlackCat no fue confiscado. Están saliendo de estafar
a sus afiliados.</b>
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="644" data-original-width="800" height="515" src="https://pbs.twimg.com/media/GH5Ob-IWkAA2vI9?format=jpg&name=900x900" width="640" />
</div>
<p>
Finalmente, ahora la descripción de la cuenta Tox de ALPHV <a href="https://twitter.com/mcarli/status/1764936184373936194" rel="nofollow" target="_blank">anuncia</a>
la venta del código fuente por 5 millones de dólares.
</p>
<h3 style="text-align: left;">Actualización 05 de marzo</h3>
<p>
Los titulares de cuentas ALPHV <i>"Affiliate Plus"</i> expresaron su
frustración porque sus cuentas se cerraron repentinamente y no pudieron
realizar sus ataques. Afirmaron que el personal administrativo de ALPHV los
estaba ignorando.
</p>
<p>
El 5 de marzo, el dominio ALPHV muestra un mensaje de incautación del FBI. Sin
embargo, los investigadores han indicado que el código fuente HTML parece
sospechoso y creen que
<b>se trata de una página falsa de incautación del FBI.</b> No ha habido
ningún anuncio oficial por parte del Departamento de Justicia de los Estados
Unidos para confirmar o desmentir este aviso de incautación en el dominio
ALPHV.
</p><p>Según <a href="https://www.databreaches.net/developing-alphv-allegedly-scammed-change-healthcare-and-its-own-affiliate/" rel="nofollow" target="_blank">DataBreaches</a>, el afiliado descontento, a quien el personal administrativo suspendió su cuenta, hizo las acusaciones en el foro de cibercrimen RAMP. <i>"Vaciaron la billetera y se llevaron todo el dinero"</i>, dijeron.</p><p>Fuente: <a href="https://thehackernews.com/2024/03/exit-scam-blackcat-ransomware-group.html" rel="nofollow" target="_blank">THN</a></p>
<p><i> Noticia en desarrollo...</i></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-38007639341545876292024-03-04T09:00:00.001-03:002024-03-04T09:00:00.127-03:00GitHub aloja repositorios clonados con código malicioso<p>
Gracias a una combinación de metodología sofisticada e ingeniería social,
<a
href="https://arstechnica.com/security/2024/02/github-besieged-by-millions-of-malicious-repositories-in-ongoing-attack/"
rel="nofollow"
target="_blank"
>este ataque</a
>
en particular parece muy difícil de detener.
</p>
<p>
GitHub se ha convertido en un recurso vital para programadores de todo el
mundo y en una amplia base de conocimientos y repositorio para proyectos de
codificación de código abierto, almacenamiento de datos y gestión de códigos.
Sin embargo,
<b
>el sitio está sufriendo actualmente un ataque automatizado que implica la
clonación y creación de grandes cantidades de repositorios de códigos
maliciosos,</b
>
y aunque los desarrolladores han estado trabajando para eliminar los
repositorios afectados, se dice que una cantidad significativa sobrevive, y se
cargan más de forma regular.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="216"
data-original-width="800"
height="173"
src="https://apiiro.com/wp-content/uploads/2024/02/image-12-1536x415.png"
width="640"
/>
</div>
<p>
Un atacante desconocido logró crear e implementar un proceso automatizado que
bifurca y clona repositorios existentes, agregando su propio código malicioso
que está oculto bajo siete capas de ofuscación. Estos repositorios
fraudulentos son difíciles de diferenciar de sus homólogos legítimos, y
algunos usuarios, que no son conscientes de la naturaleza maliciosa del
código, bifurcan ellos mismos los repositorios afectados, lo que sin querer
aumenta la escala del ataque.
</p>
<p>El flujo de la campaña es simple:</p>
<ul style="text-align: left;">
<li>
Clonar repositorios existentes (por ejemplo: TwitterFollowBot, WhatsappBOT,
discord-boost-tool, Twitch-Follow-Bot y cientos más)
</li>
<li>Infectarlos con cargadores de malware</li>
<li>Subirlos nuevamente a GitHub con nombres idénticos</li>
<li>Bifurcar automáticamente cada uno miles de veces</li>
<li>
Promocionarlos de forma encubierta en la web a través de foros, Discord,
etc.
</li>
</ul>
<p>
Los desarrolladores que utilizan cualquiera de los repositorios maliciosos en
la campaña descomprimen una carga útil y un archivo ejecutable. El
código, que consiste principalmente en una versión modificada del
<a
href="https://github.com/Inplex-sys/BlackCap-Grabber-NoDualHook?tab=readme-ov-file#-%E3%80%A2-features"
target="_blank"
>BlackCap-Grabber</a
>
de código abierto, luego recopila cookies de autenticación y credenciales de
inicio de sesión de varias aplicaciones y las envía a un servidor controlado
por el atacante. Los investigadores dijeron que
<i
>"el repositorio malicioso realiza una larga serie de actividades maliciosas
adicionales".</i
>
</p>
<div class="separator" style="clear: both; text-align: center;"> <img
height="414"
src="https://cdn.arstechnica.net/wp-content/uploads/2024/02/repo-confusion.gif"
width="640"
/>
</div>
<p>
Una vez que un desarrollador hace uso de un repositorio afectado, una carga
útil oculta comienza a descomprimir siete capas de ofuscación, incluido el
código Python malicioso y un ejecutable binario. Luego, el código se pone a
trabajar recopilando datos confidenciales y detalles de inicio de sesión antes
de cargarlos en un servidor de control.
</p>
<p>
Los equipos de investigación y datos del proveedor de seguridad
<a
href="https://apiiro.com/blog/malicious-code-campaign-github-repo-confusion-attack/"
rel="nofollow"
target="_blank"
>Apiiro han estado monitoreando</a
>
el resurgimiento del ataque desde sus inicios relativamente menores en mayo
del año pasado. Y aunque la compañía dice que GitHub ha estado eliminando
rápidamente los repositorios afectados, a su sistema de detección automatizada
todavía le faltan muchos de ellos, y las versiones cargadas manualmente
todavía se escapan de la red.
</p>
<p>
Dada la escala actual del ataque, que según los investigadores asciende a
millones de repositorios cargados o bifurcados, incluso una tasa de error del
1% todavía significa potencialmente miles de repositorios comprometidos
todavía en el sitio.
</p>
<p>
Si bien el ataque fue inicialmente de pequeña escala cuando se documentó por
primera vez, con varios paquetes detectados en el sitio con las primeras
versiones del código malicioso, gradualmente ha ido ganando tamaño y
sofisticación. Los investigadores han identificado varias razones potenciales
para el éxito de la operación hasta el momento, incluido el tamaño general de
la base de usuarios de GitHub y la creciente complejidad de la técnica.
</p>
<p>
Lo realmente intrigante aquí es la combinación de sofisticados métodos de
ataque automatizados y la simple naturaleza humana. Si bien los métodos de
ofuscación se han vuelto cada vez más complejos, los atacantes han dependido
en gran medida de la ingeniería social para confundir a los desarrolladores y
obligarlos a elegir el código malicioso en lugar del real y difundirlo
involuntariamente, agravando el ataque y haciéndolo mucho más difícil de
detectar.
</p>
<p>
Tal como están las cosas, este método parece haber funcionado notablemente
bien, y aunque GitHub aún no ha comentado directamente sobre el ataque, sí
emitió una declaración general asegurando a sus usuarios que
<i
>"Tenemos equipos dedicados a detectar, analizar y eliminar contenido y
cuentas que violan nuestras Políticas de Uso Aceptable. Empleamos revisiones
manuales y detección a escala que utilizan el aprendizaje automático y
evolucionan y se adaptan constantemente a los ataques adversarios"</i
>.
</p>
<p>
Los peligros de volverse popular, al parecer, se han manifestado aquí. Si bien
GitHub sigue siendo un recurso vital para los desarrolladores de todo el
mundo, su naturaleza de código abierto y su enorme base de usuarios parecen
haberlo dejado algo vulnerable, aunque dada la efectividad del método, no
sorprende que resolver el problema por completo parezca ser una tarea cuesta
arriba. batalla que GitHub aún tiene que superar.
</p>
<p>
Fuente:
<a
href="https://arstechnica.com/security/2024/02/github-besieged-by-millions-of-malicious-repositories-in-ongoing-attack/"
rel="nofollow"
target="_blank"
>ArsTechnica</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com1tag:blogger.com,1999:blog-14423462.post-53243707963864467502024-03-02T10:24:00.000-03:002024-03-02T10:24:00.126-03:00Guías para análisis web/API OWASP WSTG<div class="separator"><div class="separator" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;">
<img border="0" data-original-height="554" data-original-width="800" height="222" src="https://owasp.org/www-project-web-security-testing-guide/latest/2-Introduction/images/ProportionTest.png" width="320" />
</div></div><p>
El proyecto
<a href="https://owasp.org/www-project-web-security-testing-guide/" rel="nofollow" target="_blank">OWASP Web Security Testing Guide (WSTG)</a>
es el principal recurso de pruebas de ciberseguridad para desarrolladores de
aplicaciones web y profesionales de la seguridad.
</p>
<p>
<b>El WSTG es una guía completa para probar la seguridad de aplicaciones y
servicios web.</b>
Creado gracias a los esfuerzos colaborativos de profesionales de la
ciberseguridad y voluntarios dedicados, el WSTG proporciona un marco de
mejores prácticas utilizadas por evaluadores de penetración y organizaciones
de todo el mundo.
</p>
<p>La guía se divide en las siguientes partes:</p>
<p></p>
<ul style="text-align: left;">
<li>00 - Introduction and Objectives (introducción y objetivos)</li>
<li>01 - Information Gathering (obtención de información)</li>
<li>
02 - Configuration and Deployment Management Testing (gestión de
configuración y despliegue)
</li>
<li>03 - Identity Management Testing (gestión de identidades)</li>
<li>04 - Authentication Testing (mecanismos de autenticación)</li>
<li>05 - Authorization Testing (mecanismos de autorización)</li>
<li>06 - Session Management Testing (gestión de sesiones)</li>
<li>07 - Input Validation Testing (validación de datos de entradas)</li>
<li>08 - Testing for Error Handling (gestión de errores)</li>
<li>
09 - Testing or Weak Cryptography (gestión de procesos criptográficos)
</li>
<li>10 - Business Logic Testing (lógicas de negocio)</li>
<li>11 - Client side Testing (pruebas en el cliente)</li>
<li>12 - API Testing (pruebas de las APIs)</li>
</ul>
<p>
Además, se puede consultar la guía
<a href="https://github.com/OWASP/wstg/blob/master/document/3-The_OWASP_Testing_Framework/1-Penetration_Testing_Methodologies.md" rel="nofollow" target="_blank">Penetration Testing Methodologies</a>
que considera los siguientes <i>frameworks</i> de evaluación.
</p>
<a href="https://www.pcisecuritystandards.org/documents/Penetration-Testing-Guidance-v1_1.pdf"></a>
<ul style="text-align: left;">
<a href="https://www.pcisecuritystandards.org/documents/Penetration-Testing-Guidance-v1_1.pdf"></a>
<li>
<a href="https://www.pcisecuritystandards.org/documents/Penetration-Testing-Guidance-v1_1.pdf"></a><a href="https://www.pcisecuritystandards.org/documents/Penetration-Testing-Guidance-v1_1.pdf">PCI Data Security Standard - Penetration TestingGuidance</a>
</li>
<li>
<a href="http://www.pentest-standard.org/index.php/Main_Page">PTES Standard</a>
</li>
<li>
<a href="http://www.isecom.org/research/osstmm.html">Open Source Security Testing Methodology Manual (OSSTMM)</a>
</li>
<li>
<a href="https://csrc.nist.gov/publications/detail/sp/800-115/final">Technical Guide to Information Security Testing and Assessment NIST SP
800-115</a>
</li>
<li>
<a href="https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity/index.html">HIPAA Security Testing Guidance</a>
</li>
<li>
<a href="http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html">Penetration Testing Framework 0.59</a>
</li>
<li>
<a href="https://owasp.org/www-project-mobile-security-testing-guide/">OWASP Mobile Security Testing Guide</a>
</li>
<li>
<a href="https://owasp.org/www-pdf-archive/Security_Testing_Guidelines_for_mobile_Apps_-_Florian_Stahl+Johannes_Stroeher.pdf">Security Testing Guidelines for Mobile Apps</a>
</li>
<li><a href="https://www.kali.org/">Kali Linux</a></li>
<li>
<a href="https://www.pcisecuritystandards.org/pdfs/infosupp_11_3_penetration_testing.pdf">Information Supplement: Requirement 11.3 Penetration Testing</a>
</li>
</ul>
<p>
La última versión disponible es la 4.2 y se puede visualizar directamente en
el sitio web o en formato PDF. La nueva versión 5.0 se encuentra en
desarrollo.
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-24180459421115866162024-03-01T10:00:00.003-03:002024-03-01T10:00:00.139-03:00Delitos en criptomonedas en la Darknet aumentaron en 2023 [Chainalysis]<p>
La industria de las criptomonedas continúa siendo objeto de ciberdelincuencia,
y los mercados de la darknet son una de las dos categorías que mostraron un
aumento en los ingresos en 2023, según el último informe de la
firma de análisis blockchain Chainalysis.
</p>
<p>
En su <a href="https://go.chainalysis.com/crypto-crime-2024.html"><b>"Informe de Crimen de Criptomonedas 2024"</b></a>, publicado ayer,
los datos revelaron que los mercados de la darknet recibieron ingresos de al
menos USD 1,7 mil millones. Esto fue un "rebote" desde sus datos de 2022
cuando las autoridades cerraron
<a href="https://es.cointelegraph.com/news/crypto-scams-fall-65-after-gullible-noobs-exit-the-market-chainalysis">el mercado de la darknet más grande del mundo</a>, Hydra.
</p>
<p>
Aunque ningún mercado reemplazó a Hydra, el informe reveló que los mercados
más pequeños están prosperando al servir nichos específicos y desarrollar
roles más "especializados". Chainalysis destacó que el Mega Darknet Market
lidera el paquete con más de medio billón de dólares en entradas de
criptomonedas.
</p>
<p>
No obstante, los ingresos generados por los mercados de la darknet aún no han
vuelto a los niveles máximos vistos durante el liderazgo de Hydra en el
mercado. El informe dijo:<br /><i>"Esperamos que las agencias de aplicación de la
ley continúen investigando y desmantelando los mercados de la darknet,
especialmente dado que muchos ofrecen productos de fentanilo en venta"</i>.
</p>
<p>
Eric Jardine, líder de investigación de ciberdelincuencia en Chainalysis, dijo
a Cointelegraph que el fenómeno de los <i>"mercados de la darknet de nicho"</i>
compitiendo por ganar cuota de mercado no es algo nuevo y sigue las tendencias
después de los cierres de mercados de la darknet como Silk Road y AlphaBay.
</p>
<p>
Además del aumento de los ingresos de los mercados de la darknet, 2023 vio más
del doble de las sanciones vinculadas a criptomonedas por parte de la Oficina
de Control de Activos Extranjeros (OFAC) de los Estados Unidos, con un total
de 18 sanciones a individuos o entidades, todas las cuales incluyeron
direcciones de criptomonedas en su designación.
</p>
<p>
Las entradas de criptomonedas a entidades y jurisdicciones sancionadas
representaron el 61.5% de todo el volumen de transacciones ilícitas, lo que
representa USD 14.9 mil millones en volumen de transacciones en 2023.
</p>
<p>
Según el informe, las sanciones vinculadas a criptomonedas cambiaron en 2023
de OFAC dirigirse a servicios importantes como Garantex y Hydra, y mezcladores
como Tornado Cash, a grupos y actores individuales.
</p>
<p>
La lista de individuos sancionados este año vinculados a criptomonedas incluyó
al grupo de piratería norcoreano Kimsuky, el mezclador de criptomonedas
Sinbad.io, la nacional rusa Ekaterina Zhdanova y el MSB Buy Cash con sede en
Gaza.
</p>
<p>
Sin embargo, el informe presentó algunas cifras más positivas, incluida una
disminución interanual en los ingresos de estafas basadas en criptomonedas.
Aunque las estafas siguen siendo uno de los mayores impulsores del crimen
basado en criptomonedas con USD 4.6 mil millones en ingresos para 2023, la
cifra bajó desde los USD 5.9 mil millones del año anterior.</p>
<p>
Sin embargo, 2023 vio un aumento en nuevos tipos de estafas, incluidas
<a href="https://es.cointelegraph.com/news/valentine-nightmare-romance-scams">estafas románticas —también conocidas como estafas de sacrificio de
cerdos (<i>pig-butchering</i>)</a>. Estos tipos de estafas
<a href="https://es.cointelegraph.com/news/defi-scams-evolution-pig-butchering-fraud">más que duplicaron los ingresos</a>
año tras año, con datos que sugieren un crecimiento de 85 veces desde
2020.</p><div class="separator" style="clear: both; text-align: center;"><a href="https://s3.cointelegraph.com/uploads/2024-02/d6aa49ea-f5c6-40f0-86a3-94613659ef5c.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="384" data-original-width="800" height="307" src="https://s3.cointelegraph.com/uploads/2024-02/d6aa49ea-f5c6-40f0-86a3-94613659ef5c.png" width="640" /></a></div><br /><p><br /></p>
<p>
Jardine dijo que las estafas románticas están en aumento porque <i>"son efectivas
—los estafadores no son nada si no son oportunistas. Estas estafas
llevan semanas o meses, ya que los estafadores buscan ganarse la confianza de
sus víctimas. Los usuarios que no son conscientes de las señales para detectar
estafas pueden caer fácilmente en la trampa".
</i></p>
<p>
Cuando se le preguntó sobre cualquier información para que los usuarios eviten
estafas y naveguen por la ciberdelincuencia vinculada a las criptomonedas en
2024, Jardine dijo: <i>"Crear un entorno en cadena más seguro y confiable
requiere acciones de varios actores del sector público y privado, así como de
los propios individuos".
</i></p>
<p>
Dijo que en el caso de las estafas, <i>"los individuos pueden ayudar a minimizar
su riesgo siendo cautelosos en sus interacciones en cadena y en línea"</i>,
mientras que otros actores en el ecosistema pueden ayudar a identificar las
huellas en cadena de las redes de estafas, y la aplicación de la ley <i>"puede
trabajar en diferentes jurisdicciones y con actores del sector privado para
intentar recuperar los fondos robados a las víctimas".
</i></p>
<p>
Jardine también enfatizó la importancia de utilizar servicios que enfaticen
activamente la seguridad en el espacio DeFi. Cuando se le preguntó sobre
cualquier información para que los usuarios eviten estafas y naveguen por la
ciberdelincuencia vinculada a las criptomonedas en 2024, Jardine dijo: <i>"Crear un entorno en cadena más seguro y confiable requiere acciones de varios
actores del sector público y privado, así como de los propios individuos".</i></p>
<p>
Dijo que en el caso de las estafas, <i>"los individuos pueden ayudar a minimizar
su riesgo siendo cautelosos en sus interacciones en cadena y en línea"</i>,
mientras que otros actores en el ecosistema pueden ayudar a identificar las
huellas en cadena de las redes de estafas, y la aplicación de la ley <i>"puede
trabajar en diferentes jurisdicciones y con actores del sector privado para
intentar recuperar los fondos robados a las víctimas".
</i></p>
<p>
Jardine también enfatizó la importancia de utilizar servicios que enfaticen
activamente la seguridad en el espacio DeFi. <i>"Una buena higiene digital,
especialmente en términos de gestión de contraseñas y frases de recuperación,
también es crucial"</i>, dijo.
</p><p>Fuente: <a href="https://es.cointelegraph.com/news/darknet-market-crypto-crimes-rise-chainalysis" rel="nofollow" target="_blank">CoinTelegraph</a></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-65717515717419613332024-02-29T11:38:00.000-03:002024-02-29T11:38:00.240-03:00¿Qué es una frase de contraseña? Ejemplos, tipos y mejores prácticas<div class="separator"><div class="separator" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;">
<img border="0" data-original-height="590" data-original-width="726" height="325" src="https://v.wpimg.pl/NGFkNC5qYSYnCThwGgpsM2RRbCpcU2JlM0l0YRoSYXB0XTZsWF8lKCsEPChaHC8pLwpgM1leeHZ0CH93DBN4cXcPfncDFCt_cg8oelREd3NzUnoiUUVgLTYMbD4" width="400" />
</div></div><p>
Una <b>frase de contraseña</b> funciona como una contraseña y le otorga acceso
a un sistema o aplicación, pero en lugar de una cadena de caracteres
aleatorios, <b>es una combinación de palabras, números y símbolos</b>. Las
frases de contraseña suelen ser más largas que las contraseñas y más fáciles
de recordar, ya que pueden estar compuestas por una serie de palabras o una
frase significativa.
</p>
<p>
Y es evidente que olvidar una contraseña es un temor común. En 2023, en su
quinto estudio anual sobre hábitos de contraseñas, NordPass descubrió que
<i><a href="https://blog.segu-info.com.ar/search/?q=123456" rel="nofollow" target="_blank">"123456"</a></i>
era la contraseña más común en 35 países y se podía descifrar en menos de un
segundo.
</p>
<p>
La seguridad de la cuenta no debe verse comprometida por temor a olvidar su
contraseña.
</p>
<h3 style="text-align: left;">¿Qué es una frase de contraseña?</h3>
<p>
Una frase de contraseña es una combinación de frases utilizadas para
salvaguardar o autenticar el acceso a una cuenta en línea, sistema informático
u otro recurso digital. Las frases de contraseña suelen ser más largas que las
contraseñas tradicionales y constan de palabras que son fáciles de recordar
pero que resultan difíciles de descifrar para los posibles atacantes. Piense
en ello como una oración corta de cuatro palabras o más y un mínimo de 15
caracteres.
</p>
<p>
Dado que las frases de contraseña pueden ser más fáciles de recordar para los
usuarios y son más resistentes a ataques de fuerza brura, a menudo se utilizan
para brindar protección mejorada para cuentas o datos esenciales. A
continuación, enumeramos algunos ejemplos de frases de contraseña. Sin
embargo, no le recomendamos que utilice ninguno de estos para sus cuentas
personales. En su lugar, elija una frase que sea significativa para usted.
</p>
<p>
Al crear su contraseña, considere poner en mayúscula letras aleatorias dentro
de la frase y reemplazar letras con símbolos. Por ejemplo, "@" para "a".
</p>
<p></p>
<ul style="text-align: left;">
<li>ILoveiCeCre@msoMuch!</li>
<li>Jack&JillWentUptheHill</li>
<li>Mich@elJ@cksonIstheGr8testofAllTime</li>
</ul>
<p>
Las frases de contraseña anteriores son ejemplos de frases de contraseña
mnemotécnicas: palabras unidas para formar una frase memorable. Los tipos
adicionales de frases de contraseña incluyen:
</p>
<p></p>
<ul style="text-align: left;">
<li>
<b> Frases de contraseña de patrones de teclado:</b> estas frases de
contraseña constan de una serie de palabras, cada una de las cuales comienza
con una letra de un patrón de teclado.
</li>
<ul>
<li>
Ejemplo: <i>"Quick Wick Eat Rice Tomato Yam"</i> sigue el patrón QWERTY.
</li>
</ul>
<li>
<b> Frases de contraseña aleatorias:</b> consiste en elegir palabras
aleatorias para formar una frase. Esto podría ser un poco más difícil de
recordar, especialmente en comparación con las frases de contraseña
mnemotécnicas; sin embargo, son una opción segura.
</li>
<ul>
<li>Ejemplo: <i>"IcepickHammerSnailDragon" </i></li>
</ul>
<li>
<b> Frases de contraseña basadas en imágenes:</b> consiste en generar
una frase de contraseña inspirándose en imágenes.
</li>
<ul>
<li>
Ejemplo: <i>"BabysFirstSliceofPizza02042004"</i> creado a partir de una
foto familiar memorable.
</li>
</ul>
</ul>
<p>
Fuente:
<a href="https://www.techrepublic.com/article/what-is-passphrase/" rel="nofollow" target="_blank">TechRepublic</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-18897596276068114882024-02-28T15:18:00.000-03:002024-02-28T15:18:00.167-03:00Browser In The Browser (BitB) sin Frames<p>
<a
href="https://blog.segu-info.com.ar/2022/03/templates-de-phishing-browser-in-browser.html"
rel="nofollow"
target="_blank"
>Browser In The Browser (BITB)</a
>
introducido
<a
href="https://mrd0x.com/browser-in-the-browser-phishing-attack/"
rel="nofollow"
target="_blank"
>originalmente por @mrd0x</a
>, es un concepto que crea la apariencia de una ventana de navegador creíble
dentro de la cual el atacante controla el contenido (sirviendo el sitio web
malicioso dentro de un <i>iframe</i>).
</p>
<p>
Sin embargo, la barra de URL de la ventana del navegador falso está
configurada en el sitio legítimo que el usuario esperaría. Esto, combinado con
una herramienta como Evilginx, se convierte en la receta perfecta para un
ataque de phishing creíble.
</p>
<p>
El problema es que en los últimos meses/años, los principales sitios web como
Microsoft implementaron varios pequeños trucos llamados
<i>"framebusters/framekillers"</i> que principalmente intentan romper los
<i>iframes</i> que podrían usarse para servir al sitio web proxy, como en el
caso de Evilginx.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="358"
data-original-width="800"
height="286"
src="https://i.imgur.com/cXlIaiO.png"
width="640"
/>
</div>
<p>
En resumen, Evilginx + BITB para sitios web como Microsoft ya no funciona. Al
menos no con un BITB que se basa en <i>iframes</i>.
</p>
<p>
Aquí es donde viene la herramienta de Wael Al Masri:
<a
href="https://github.com/waelmas/frameless-bitb"
rel="nofollow"
target="_blank"
>Frameless BibB</a
>
y es simplemente eso, un BITB sin usar <i>iframes</i>, es decir, que podremos
usar BitB con Evilginx en sitios web como Microsoft. Esto lo logra inyectando
<i>scripts</i> y HTML además del contenido original mediante búsqueda y
reemplazo (también conocido como sustituciones), y luego confiando
completamente en trucos de HTML/CSS/JS para crear el efecto visual.
</p>
<p>
También utiliza un truco adicional llamado <i>"Shadow DOM"</i> en HTML para
colocar el contenido de la página de destino (fondo) de tal manera que no
interfiera con el contenido <i>proxy</i>, lo que nos permite usar de manera
flexible cualquier <i>landing page</i> con pocos JS adicionales.
</p>
<p>
Instrucciones de instalación y más en la web del proyecto
<a href="https://github.com/waelmas/frameless-bitb"
>https://github.com/waelmas/frameless-bitb</a
>
</p>
<p>
Fuente:
<a
href="https://www.hackplayers.com/2024/02/bitb-browser-in-browser-sin-iframes.html"
>HackPlayers</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-40335163047860175752024-02-28T09:50:00.002-03:002024-02-28T18:39:49.167-03:00Botnet con Ubiquity EdgeRouter infectados<div class="separator">
<div class="separator" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: center;">
<img border="0" data-original-height="533" data-original-width="705" height="242" src="https://i0.wp.com/securityaffairs.com/wp-content/uploads/2021/01/Ubiquiti-Logo.png?fit=705%2C533&ssl=1" width="320" />
</div>
</div>
<p>
Grupos de ataque militares rusos
<a href="https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-botnet-controlled-russian" rel="nofollow" target="_blank">están utilizando Ubiquiti EdgeRouter comprometidos</a>
para evadir la detección, dice el FBI en un
<a href="https://www.ic3.gov/Media/News/2024/240227.pdf" rel="nofollow" target="_blank">aviso conjunto</a>
emitido con la NSA, el Comando Cibernético de EE.UU. y socios internacionales.
</p>
<p>
Los ciberespías de la Unidad Militar 26165, parte de la Dirección Principal de
Inteligencia del Estado Mayor (GRU - Russian Military Intelligence) de Rusia y
rastreados como APT28 y Fancy Bear, están utilizando estos routers
secuestrados y muy populares para construir extensas redes de bots que les
ayudan a robar credenciales, recopilar <i>hashes</i> NTLMv2.
</p>
<p>
También se utilizan para alojar herramientas personalizadas y páginas de
inicio de phishing en operaciones cibernéticas encubiertas dirigidas a
militares, gobiernos y otras organizaciones en todo el mundo.
</p>
<p>
<i>"Los EdgeRouters a menudo se envían con credenciales predeterminadas y
protecciones de firewall limitadas o nulas para adaptarse a los proveedores
de servicios de Internet inalámbricos (WISP)"</i>, advierte el aviso conjunto.
<i>"Además, los EdgeRouters no actualizan automáticamente el firmware a menos
que un consumidor los configure para hacerlo".</i>
</p>
<p>
A principios de este mes,
<a href="https://www.bleepingcomputer.com/news/security/fbi-disrupts-russian-moobot-botnet-infecting-ubiquiti-routers/" rel="nofollow" target="_blank">el FBI desbarató una botnet de Ubiquiti EdgeRouters infectados</a>
con el malware Moobot por ciberdelincuentes no vinculados con
<a href="https://duo.com/decipher/microsoft-identifies-distinct-russian-gru-threat-actor" rel="nofollow" target="_blank">APT28</a>
que el grupo de hackers ruso luego reutilizó para construir una herramienta de
ciberespionaje con alcance global.
</p>
<p>
En sus ataques, los actores de amenazas apuntaron a vulnerabilidades Zero-Day,
incluida una vulnerabilidad crítica de elevación de privilegios en Microsoft
Outlook en Windows (CVE-2023-23397), que aprovecharon para recopilar
<i>hashes</i> NTLMv2 de cuentas de Outlook específicas. Como parte de estos
ataques, los actores también instalaron herramientas disponibles públicamente,
como
<i><a href="https://github.com/fortra/impacket" rel="nofollow" target="_blank">Impacket ntlmrelayx.py</a>
y <a href="https://github.com/lgandx/Responder">Responder</a>, para ayudar
con los ataques de retransmisión NTLM y para alojar servidores de
autenticación NTLMv2 maliciosos.</i> Actualmente hay
<a href="https://twitter.com/h4x0r_fr34k/status/1760456753500835936" rel="nofollow" target="_blank">exploits activos</a>.
</p>
<p>
También es importante mantener el dispositivo actualizado. En julio pasado,
<a href="https://securityaffairs.com/148334/hacking/ubiquiti-edgerouter-flaw.html" rel="nofollow" target="_blank">se ha publicado un exploit</a>
de prueba de concepto (PoC) para la vulnerabilidad CVE-2023-31998 en Ubiquiti
EdgeRouter. La vulnerabilidad en el <i>miniupnpd</i> de EdgeRouters y AirCube permite a los atacantes de LAN ejecutar código arbitrario. Actualmente también hay <a href="https://ssd-disclosure.com/ssd-advisory-edgerouters-and-aircube-miniupnpd-heap-overflow/" rel="nofollow" target="_blank"><i>exploits</i> activos</a>.</p><p>Mientras investigaba los routers hackeados, el
FBI descubrió varias herramientas y artefactos APT28, incluidos
<i>scripts</i> de Python para robar credenciales de correo web, programas
diseñados para recopilar <i>hashing</i> NTLMv2 y reglas de enrutamiento
personalizadas que redirigían automáticamente el tráfico de phishing a una
infraestructura de ataque dedicada.
</p>
<p>
APT28 es un notorio grupo de hackers ruso responsable de varios ataques
cibernéticos de alto perfil desde que comenzaron a operar.
</p>
<h3 style="text-align: left;">
Cómo "revivir" Ubiquiti EdgeRouters secuestrados
</h3>
<p>
El FBI y las agencias asociadas detrás del aviso
<a href="https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-botnet-controlled-russian" rel="nofollow" target="_blank">recomiendan</a>
las siguientes medidas para deshacerse de la infección de malware y bloquear
el acceso de APT28 a los routers comprometidos:
</p>
<p></p>
<ul style="text-align: left;">
<li>
Realice un restablecimiento de fábrica del hardware para eliminar los
sistemas de archivos de archivos maliciosos
</li>
<li>Actualice a la última versión de firmware</li>
<li>Cambiar los nombres de usuario y contraseñas predeterminados, y</li>
<li>
Implemente reglas de firewall estratégicas en las interfaces del lado WAN
para evitar la exposición no deseada a servicios de administración remota.
</li>
</ul>
<p></p>
<p>
El FBI está buscando información sobre la actividad de APT28 en EdgeRouters
hackeados para evitar un mayor uso de estas técnicas y responsabilizar a los
responsables.
</p>
<p>
Fuente:
<a href="https://arstechnica.com/security/2024/02/kremlin-backed-hackers-are-infecting-ubiquity-edgerouters-fbi-warns/" rel="nofollow" target="_blank">ArsTechnica</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-54204508515588761952024-02-27T12:15:00.008-03:002024-02-27T12:37:26.154-03:00Publicado Marco de ciberseguridad (CSF) 2.0 del NIST<p>
El <b>Marco de ciberseguridad (CSF) 2.0 del NIST</b> proporciona orientación a
la industria, las agencias gubernamentales y otras organizaciones para
gestionar los riesgos de ciberseguridad. Ofrece una taxonomía de resultados de
ciberseguridad de alto nivel que cualquier organización puede utilizar,
independientemente de su tamaño, sector o madurez, para comprender, evaluar,
priorizar y comunicar mejor sus esfuerzos de ciberseguridad.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="407"
data-original-width="800"
height="326"
src="https://i.imgur.com/vkQnZ11.png"
width="640"
/>
</div>
<p>
El
<a href="https://www.nist.gov/cyberframework" rel="nofollow" target="_blank"
>Cybersecurity Framework (CSF) 2.0</a
>
está diseñado para ayudar a organizaciones de todos los tamaños y sectores
(incluidos la industria, el gobierno, el mundo académico y las organizaciones
sin fines de lucro) a gestionar y reducir sus riesgos de ciberseguridad. Es
útil independientemente del nivel de madurez y la sofisticación técnica de los
programas de ciberseguridad de una organización. Sin embargo, el CSF no adopta
un enfoque único para todos. Cada organización tiene riesgos comunes y únicos,
así como distintos apetitos y tolerancias de riesgo, misiones específicas y
objetivos para lograr esas misiones.
</p>
<p>
Por necesidad, la forma en que las organizaciones implementan el CSF cambiará.
El CSF no describe cómo se deben lograr los resultados. Más bien, enlaza con
recursos en línea que brindan orientación adicional sobre prácticas y
controles que podrían usarse para lograr esos resultados.
</p>
<p>
Idealmente, el CSF se utilizará para abordar los riesgos de ciberseguridad
junto con otros riesgos de la empresa, incluidos aquellos de naturaleza
financiera, de privacidad, de cadena de suministro, reputacionales,
tecnológicos o físicos.
</p>
<p>
El CSF describe los resultados deseados que deben ser comprendidos por una
audiencia amplia, incluidos ejecutivos, gerentes y profesionales,
independientemente de su experiencia en ciberseguridad.
</p>
<p>
Debido a que estos resultados son neutrales en cuanto a sectores, países y
tecnologías, brindan a una organización la flexibilidad necesaria para abordar
sus riesgos, tecnologías y consideraciones de misión únicos. Los resultados se
asignan directamente a una lista de posibles controles de seguridad para su
consideración inmediata para mitigar los riesgos de ciberseguridad.
</p>
<p>
Aunque no es prescriptivo, el CSF proporciona sugerencias sobre cómo se pueden
lograr resultados específicos en un conjunto cada vez mayor de recursos en
línea que complementan el CSF, incluida una serie de Guías de inicio rápido
(QSG).
</p>
<p>
Además, diversas herramientas ofrecen formatos descargables para ayudar a las
organizaciones que optan por automatizar algunos de sus procesos. Los QSG
sugieren formas iniciales de utilizar el CSF y brindan recursos relacionados.
Estos recursos complementarios deben verse como una "cartera de CSF" para
ayudar a gestionar y reducir los riesgos.
</p>
<p>
Partiendo de versiones anteriores, CSF 2.0 contiene nuevas características que
resaltan la importancia de la gobernanza y las cadenas de suministro. Se
presta especial atención a los QSG para garantizar que el CSF sea relevante y
fácilmente accesible tanto para las organizaciones más pequeñas como para sus
contrapartes más grandes.
</p>
<p>
El NIST ahora proporciona ejemplos de implementación y referencias
informativas, que están disponibles en línea y se actualizan periódicamente.
La creación de perfiles organizacionales actuales y del estado objetivo ayuda
a las organizaciones a comparar dónde están y dónde quieren o necesitan estar
y les permite implementar y evaluar controles de seguridad más rápidamente.
</p>
<p>
Los riesgos de ciberseguridad se expanden constantemente y su gestión debe ser
un proceso continuo. Esto es cierto independientemente de si una organización
recién está comenzando a enfrentar sus desafíos de ciberseguridad o si ha
estado activa durante muchos años con un equipo de ciberseguridad sofisticado
y con buenos recursos. El CSF está diseñado para ser valioso para cualquier
tipo de organización y se espera que proporcione orientación adecuada durante
un largo tiempo.
</p>
<p>
Se proporciona un conjunto de recursos en línea que complementan el CSF y
están disponibles a través del sitio web del NIST CSF:
</p>
<p></p>
<ul style="text-align: left;">
<li>
<a
href="https://www.nist.gov/informative-references"
rel="nofollow"
target="_blank"
>Referencias informativas</a
>
que señalan fuentes de orientación sobre cada resultado de estándares,
directrices, marcos, regulaciones, políticas, etc., globales existentes.
</li>
<li>
<a
href="https://www.nist.gov/system/files/documents/2024/02/21/CSF%202.0-Implementation_Examples.xlsx"
rel="nofollow"
target="_blank"
>Ejemplos de implementación</a
>
que ilustran formas potenciales de lograr cada resultado.
</li>
<li>
<a
href="https://www.nist.gov/quick-start-guides"
rel="nofollow"
target="_blank"
>Guías de inicio rápido</a
>
que brindan orientación práctica sobre el uso del CSF y sus recursos en
línea, incluida la transición de versiones anteriores del CSF a la versión
2.0.
</li>
<li>
<a href="https://www.nist.gov/profiles-0" rel="nofollow" target="_blank"
>Perfiles comunitarios y plantillas de perfiles organizacionales</a
>
que ayudan a una organización a poner en práctica el CSF y establecer
prioridades para gestionar los riesgos de ciberseguridad.
</li>
</ul>
<p>
Una organización puede utilizar el núcleo, los perfiles y los niveles
del CSF con recursos complementarios para comprender, evaluar, priorizar y
comunicar los riesgos de ciberseguridad.
</p>
<p>
Fuente:
<a href="https://www.nist.gov/cyberframework" rel="nofollow" target="_blank"
>NIST Cybersecurity Framework (CSF) 2.0</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0