D3FEND: catálogo de técnicas defensivas de ciberseguridad de MITRE

D3FEND es un nuevo proyecto promovido por MITRE Corporation para agregar técnicas defensivas de ciberseguridad al marco ATT&CK.

MITRE lanzó D3FEND como complemento a su marco ATT&CK existente, una base de conocimiento gratuita y accesible a nivel mundial de tácticas y técnicas de adversario cibernético basadas en observaciones del mundo real. La industria y el gobierno utilizan ATT&CK como base para desarrollar modelos y metodologías de amenazas cibernéticas específicos.

El proyecto fue anunciado esta semana por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y propone un enfoque estándar para la descripción de contramedidas defensivas de ciberseguridad para las técnicas utilizadas por los actores de amenazas.

D3FEND es una base de conocimiento, pero más específicamente un gráfico de conocimiento, de técnicas de contramedidas de ciberseguridad. En el sentido más simple, es un catálogo de técnicas defensivas de ciberseguridad y sus relaciones con las técnicas ofensivas y del adversario. El objetivo principal de la versión inicial de D3FEND es ayudar a estandarizar el vocabulario utilizado para describir la funcionalidad de la tecnología de ciberseguridad defensiva.

El proyecto D3FEND establece la terminología de las técnicas defensivas de redes informáticas y arroja luz sobre las relaciones no especificadas previamente entre los métodos defensivos y ofensivos. Este marco ilustra la compleja interacción entre las arquitecturas de redes informáticas, las amenazas y las contramedidas cibernéticas.

La agencia de inteligencia de EE.UU. financió inicialmente el proyecto para mejorar la ciberseguridad de los sistemas de seguridad nacional, el Departamento de Defensa y la Base Industrial de Defensa. La NSA cree que D3FEND impulsará un diseño, implementación y defensa más efectivos de los sistemas en red.

Los expertos de MITRE también publicaron un artículo de investigación [PDF] que describe su estudio y desarrollo.

Fuente: SecurityAffairs

Seguir leyendo...

DroidMorph: clonación y morphing de APK evita que sean detectados por AV

Una nueva investigación publicada por un grupo de académicos descubrió que los programas antivirus para Android continúan siendo vulnerables contra diferentes modificaciones de malware, lo que podría representar un riesgo grave a medida que los actores maliciosos evolucionan sus conjuntos de herramientas para evadir mejor el análisis.

"Los creadores de malware utilizan mutaciones furtivas (morphing / ofuscations) para desarrollar continuamente clones de malware, frustrando la detección por los detectores basados en firmas", dijeron los investigadores. "Este ataque de clones amenaza seriamente a todas las plataformas móviles, especialmente a Android".

Los hallazgos fueron publicados en un estudio la semana pasada por investigadores de la Universidad de Ciencia y Tecnología de Adana, Turquía, y la Universidad Nacional de Ciencia y Tecnología, Islamabad, Pakistán.

A diferencia de iOS, las aplicaciones se pueden descargar de fuentes de terceros en dispositivos Android, lo que aumenta la posibilidad de que los usuarios puedan instalar aplicaciones no verificadas y similares que clonen la funcionalidad de una aplicación legítima, pero que están diseñadas para engañar a los objetivos para que descarguen aplicaciones con códigos fraudulentos capaces de robar información sensible.

Además, los autores de malware pueden ampliar esta técnica para desarrollar múltiples clones del software malicioso con diferentes niveles de abstracción y ofuscación para disfrazar su verdadera intención y sortear las barreras de defensa creadas por los motores anti-malware.

Para probar y evaluar la resistencia de los productos antimalware disponibles comercialmente contra este ataque, los investigadores desarrollaron una herramienta llamada DroidMorph, que permite "transformar" las aplicaciones de Android (APK) descompilando los archivos a una forma intermedia que luego se modifica y se vuelven a compilar, para crear clones, tanto benignos como maliciosos.

La transformación podría tener lugar en diferentes niveles, como los que implican cambiar los nombres de clases y métodos en el código fuente o algo no trivial que podría alterar el flujo de ejecución del programa, incluido el gráfico de llamadas y el flujo de control.

En una prueba realizada con 1.771 variantes de APK transformadas generadas a través de DroidMorph, los investigadores encontraron que 8 de los 17 programas antimalware comerciales líderes no pudieron detectar ninguna de las aplicaciones clonadas, con una tasa de detección promedio del 51,4% para la transformación de clases, un 58,8%. para la transformación del método y el 54,1% para la transformación en todo el código fuente.

Como trabajo futuro, los investigadores señalaron que tienen la intención de agregar más ofuscaciones en diferentes niveles, así como habilitar la transformación de la información de metadatos, como los permisos que están incrustados en un archivo APK, con el objetivo de reducir las tasas de detección.

Fuente: THN

Seguir leyendo...

Estudio de montos y entidades afectadas por #fraudes en Argentina #CortemosConElFraude

La situación de pandemia ha generado un incremento notable de los casos de estafas virtuales, en particular, relacionadas al mundo bancario. Sin embargo, la falta de transparencia de las entidades bancarias, sumado al alto índice de la cifra negra de este tipo de delitos, dificulta avanzar sobre un dimensionamiento más preciso sobre la gravedad de esta problemática.

En este sentido, y agradeciendo a la cooperación e información de Usuarios y Consumidores Unidos (UCU), hemos procesado y anonimizado sus estadísticas para generar nuevos índices que permiten un mejor acercamiento para comprender la complejidad de la problemática.

Entre los datos más sobresalientes del estudio realizado, podemos destacar:

• Buenos Aires, CABA y Santa Fe son las 3 jurisdicciones con mayor cantidad de estafas.
• Las entidades bancarias con mayor número de estafas son Banco Galicia, BBVA Frances y Santander Rio.
• El 47% de las víctimas, tenían un crédito preasignado.
• El 76% de las víctimas, hizo sus reclamos ante la entidad bancaria, pero el 97% no tuvo ningún tipo de respuesta o solución de su parte.
• El 52% de los afectados no realizó ningún tipo de denuncia penal (cifra negra).
• El promedio de fraude por víctima: $ 308.991
• Total anualizado de fraude: $ 643.182.021 (643 millones de pesos)

Ver todos los resultados del estudio en ODILA

Desde ODILA seguimos invitando a la difusión de nuestra campaña #CortemosConElFraude, haciendo especial foco sobre la responsabilidad de las entidades bancarias en materia de la implementación y control de medidas de seguridad que impida o al menos, obstaculice la facilidad con la que los delincuentes siguen estafando a sus clientes.

Seguir leyendo...

Nombre de SSID no validado, desactiva función de Wi-Fi en iOS

Se ha descubierto un error en el nombre de la red inalámbrica en el sistema operativo iOS de Apple que desactiva la capacidad de un iPhone para conectarse a una red Wi-Fi.

El problema fue detectado por el investigador de seguridad Carl Schou, quien descubrió que la funcionalidad Wi-Fi del teléfono se desactiva permanentemente después de unirse a una red Wi-Fi con el nombre inusual "% p% s% s% s% s% n" incluso después de reiniciar. el teléfono o cambiar el nombre de la red (es decir, el identificador del conjunto de servicios o SSID).

El error podría tener serias implicaciones, ya que los delincuentes podrían aprovechar el problema para instalar puntos de acceso Wi-Fi fraudulentos con el nombre en cuestión para romper las funciones de red inalámbrica del dispositivo.

El problema se debe a un error de formato de cadena en la forma en que iOS analiza la entrada SSID, lo que desencadena una denegación de servicio en el proceso, según un breve análisis publicado el sábado por Zhi Zhou, ingeniero de seguridad senior de Ant Financial Light-Year Security Labs. "Para desencadenar este error, debe conectarse a ese WiFi, donde el SSID es visible para la víctima. Una página de portal de phishing Wi-Fi también podría ser más eficaz".

Si bien el problema no se puede reproducir en dispositivos Android, los iPhones que se han visto afectados por el problema deberían restablecer la configuración de red de iOS yendo a Configuración > General > Restablecer > Restablecer configuración de red y confirmar la acción.

Fuente: THN

Seguir leyendo...

(Ciber) Inteligencia

A nadie sorprende ya que el concepto «Ciberinteligencia» esté en boca de todos los profesionales de nuestro sector. Sin embargo, conviene detenerse un momento y plantearse de dónde proviene dicha disciplina (a todos nos encanta añadir el prefijo «ciber» para hacer las cosas más interesantes), y a eso vamos a dedicar los próximos artículos: a hablar sobre la Inteligencia, y en concreto, de sus diferentes aplicaciones en el ámbito corporativo, para entender así la importancia de incorporarla a nuestro día a día profesional.

Para empezar, tomemos por un momento la definición de inteligencia de la Real Academia Española. Entre sus múltiples acepciones, tenemos las siguientes:

• Capacidad de entender o comprender
• Capacidad de resolver problemas

Dichas capacidades son intrínsecas a cualquier actividad que requiera de evaluar una situación, analizarla y alcanzar una determinada conclusión.

Este hecho podría aplicarse a todo el espectro de profesionales, que en su día a día requieren de tomar decisiones de diferente calibre. Más allá, son aplicables en nuestro día a día en el momento en el que el semáforo se torna ámbar y evaluamos la situación en décimas de segundo para determinar si aceleraremos o frenaremos.

Queda claro entonces que la inteligencia es parte de nuestro día a día en todos los ámbitos. Sin embargo, entre los múltiples tipos de inteligencia que se registran en la RAE, hay una entrada dedicada exclusivamente a los llamados "Servicios de Inteligencia", siendo estos definidos como:

Organización del Estado que proporciona al poder ejecutivo análisis e información para mejorar la toma de decisiones estratégicas orientadas a prevenir o neutralizar amenazas y a defender los intereses nacionales.

Esta descripción nos enfoca a comprender la inteligencia como una disciplina orientada a la toma de decisiones estratégicas (también junto a decisiones operacionales y tácticas si tomamos la clasificación de la OTAN).

Cabe preguntarse, llegados a este punto, si dicho análisis se podría aplicar a la información obtenida en el ámbito de la seguridad, concretamente a la parte "ciber" de la misma. Al fin y al cabo, valga la redundancia, ¿no consiste el trabajo de un analista de seguridad en “analizar información"?

Seguir leyendo en fuente original SecurityArtWork

• (Ciber) Inteligencia (I)
• (Ciber) Inteligencia (II)
• (Ciber) Inteligencia (III): HUMINT
• (Ciber) Inteligencia (IV): OSINT
• (Ciber) Inteligencia (V): Evaluación y difusión

Seguir leyendo...

¿Cuál es el costo real del ransomware?

Cybereason publicó los resultados de una investigación de un estudio global de ransomware de casi 1.300 profesionales de la seguridad que revela que más de la mitad de las organizaciones han sido víctimas de un ataque de ransomware y que el 80 por ciento de las empresas que optaron por pagar una demanda de rescate sufrieron un segundo ataque de ransomware, a menudo a manos del mismo grupo de actores de amenazas.

El informe "A Global Study on Ransomware Business Impact" también divulgó que de las organizaciones que optaron por pagar una demanda de rescate para recuperar el acceso a sus sistemas cifrados, el 46 por ciento informó que algunos o todos los datos se corrompieron durante el proceso de recuperación.

Estos hallazgos subrayan el costo real de pagar a los atacantes de ransomware y que las organizaciones deben centrarse en estrategias de detección y prevención tempranas para poner fin a los ataques de ransomware en las primeras etapas antes de que los sistemas y datos críticos se pongan en peligro.

• Pérdida de ingresos comerciales: el 66 por ciento de las organizaciones informaron una pérdida significativa de ingresos después de un ataque de ransomware.
• Las demandas de rescate aumentan: el 35 por ciento de las empresas que pagaron una demanda de rescate desembolsaron entre U$S 350.000 y U$S 1,4 millones, mientras que el 7 por ciento pagó rescates que superaron los $ 1.4 millones.
• Daño a la marca y la reputación: el 53 por ciento de las organizaciones indicaron que su marca y reputación se vieron dañadas como resultado de un ataque exitoso.
• Pérdida de talento de nivel C: el 32 por ciento de las organizaciones informó haber perdido talento de nivel C como resultado directo de los ataques de ransomware.
• Despidos de empleados: el 29 por ciento informó que se vio obligado a despedir empleados debido a presiones financieras luego de un ataque de ransomware.
• Cierres de empresas: un sorprendente 26 por ciento de las organizaciones informó que un ataque de ransomware obligó a la empresa a cerrar sus operaciones por completo.

"Los ataques de ransomware son una preocupación importante para las organizaciones de todo el mundo, ya menudo provocan interrupciones comerciales masivas, incluida la pérdida de ingresos y valiosos recursos humanos como resultado directo. En el caso del reciente ataque de ransomware Colonial Pipeline, las interrupciones se sintieron a lo largo y ancho de la costa este de los Estados Unidos y afectaron negativamente a otras empresas que dependen de las operaciones de Colonial", dijo Lior Div, director ejecutivo de Cybereason.

Pagar una demanda de rescate no garantiza una recuperación exitosa, no evita que los atacantes vuelvan a golpear a la organización víctima y, al final, solo agrava el problema al alentar más ataques. Hacer frente a la amenaza mediante la adopción de una estrategia de prevención para la detección temprana permitirá a las organizaciones detener el ransomware disruptivo antes de que puedan dañar el negocio.

Fuente: HelpNetSecurity

Seguir leyendo...

Fallas críticas en dispositivos ThroughTek afectas a millones de cámaras

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió el martes un aviso sobre una falla crítica en la cadena de suministro de software que afecta el kit de desarrollo de software (SDK) de ThroughTek.

Un atacante podría utilizar el error para obtener acceso inadecuado a las transmisiones de audio y video y podría permitir el acceso no autorizado a información sensible de la cámara.

El SDK punto a punto (P2P) de ThroughTek es ampliamente utilizado por dispositivos de IoT con videovigilancia o capacidad de transmisión de audio/video, como cámaras IP, cámaras de monitoreo de bebés y mascotas, electrodomésticos inteligentes y sensores para brindar acceso remoto al contenido multimedia. a través de Internet.

Registrada como CVE-2021-32934 (puntuación CVSS: 9.1), la deficiencia afecta a los productos ThroughTek P2P, versiones 3.1.5 y anteriores, así como a las versiones SDK con etiqueta nossl, y se debe a una falta de protección suficiente al transferir datos entre los dispositivo y los servidores de ThroughTek.

Nozomi Networks informó de la falla en marzo de 2021, que señaló que el uso de cámaras de seguridad vulnerables podría poner en riesgo a los operadores de infraestructura crítica al exponer información confidencial de negocios, producción y empleados. "El protocolo [P2P] utilizado por ThroughTek carece de un intercambio de claves seguro [y] se basa en cambio en un esquema de ofuscación basado en una clave fija", dijo la firma de seguridad IoT con sede en San Francisco. Dado que este tráfico atraviesa Internet, un atacante que pueda acceder a él puede reconstruir el flujo de audio / video".

Para demostrar la vulnerabilidad, los investigadores crearon un exploit de prueba de concepto (PoC) que desofusca paquetes sobre la marcha del tráfico de la red.

ThroughTek recomienda a los fabricantes de equipos originales (OEM) que utilicen SDK 3.1.10 y superior para habilitar AuthKey y DTLS, y aquellos que confían en una versión de SDK anterior a 3.1.10 para actualizar la biblioteca a la versión 3.3.1.0 o v3.4.2.0 y habilitar AuthKey / DTLS.

Dado que la falla afecta a un componente de software que es parte de la cadena de suministro para muchos OEM de cámaras de seguridad y dispositivos de IoT para consumidores, las consecuencias de tal explotación podrían violar efectivamente la seguridad de los dispositivos, permitiendo al atacante acceder y ver audio confidencial. o transmisiones de video.

"Debido a que la biblioteca P2P de ThroughTek ha sido integrada por múltiples proveedores en muchos dispositivos diferentes a lo largo de los años, es prácticamente imposible que un tercero rastree los productos afectados", dijeron los investigadores.

Fuente: THN

Seguir leyendo...

Guías gratuitas de estudio CISSP

La certificación Certified Information Systems Security Professional (CISSP) puede darle un gran impulso a su carrera en ciberseguridad. Este certificado existe desde hace más de dos décadas y obtenerlo es una de las mejores formas de demostrar competencia en seguridad de la información.

Sin embargo, aprobar el examen CISSP no es una tarea fácil. Con ocho dominios para estudiar, cada uno de los cuales cubre una variedad de temas complejos, es fácil sentirse abrumado incluso antes de comenzar a estudiar. Para aliviar la presión y ayudarlo a maximizar el uso de su tiempo, tenemos muchos recursos útiles.

CompariTech ha publicado una "hojas de referencia y trucos" completas y gratuitas que ayudan a asegurarse de estar completamente preparado el día del examen. A continuación también se proporcionan enlaces a algunas de las mejores guías de estudio de CISSP.

Guías y hojas de trucos gratuitas

• Domain 1: Security and Risk Management
• Domain 2: Asset Security
• Domain 3: Security Architecture and Engineering
• Domain 4: Communications and Network Security
• Domain 5: Identity and Access Management
• Domain 6: Security Assessment and Testing
• Domain 7: Security Operations
• Domain 8: Software Development Security


• Descargar todas las guías desde el Canal de Telegram de Segu-Info

Para comenzar a estudiar es necesario la Guía Oficial de estudio de (ISC)², la cual incluye Official (ISC)² CISSP Study Guide, Official (ISC)² CISSP Practice Tests, CISSP For Dummies, Official CISSP Study, Practice Tests Apps, y Official CISSP Flash Cards.

Libros recomendados

• CISSP All-in-One Exam Guide, Eighth Edition
• CISSP Study Guide 3rd Edition
• Eleventh Hour CISSP®: Study Guide 3rd Edition
• CISSP Cert Guide (3rd Edition) (Certification Guide) 3rd Edition
• CISSP For Dummies (For Dummies (Computer/Tech)) 6th Edition

Fuente: CompariTech

Seguir leyendo...

Sitio argentino publica(ba) datos de PCR de ciudadanos (o matemos al mensajero)

Esto es lo que sucede cuando decides publicar un problema de seguridad en Argentina: el mensajero es el culpable.

En el día de hoy publiqué un un twit denunciando públicamente cómo se tratan los datos personales y de salud en la República Argentina y, en este caso en particular, en la provincia de Entre Ríos. Estos datos, que son los más sensibles y los que en teoría deberían tener mayor protección, están expuestos. (Lo de "desesperado" fue una exageración para que llegue más rápido a los responsables.)

El incidente comenzó cuando un lector (gracias Walter!!) me informó que un enlace a un sitio .com.ar (no gubernamental) estaba siendo enviado por Whatsapp a los pacientes que se realizan PCR en los hospitales públicos de la zona. El mensaje que llega al paciente es el siguiente:

Como se puede ver, el enlace apunta a un archivo PDF dentro del directorio "/constancias" del sitio mencionado. Este proceso se realiza desde hace tiempo y desconozco desde cuándo los datos han estado expuestos. Al momento de encontrar el directorio había más de 20.000 archivos PDF almacenados:

El proceso es el siguiente:

• Alguien del Estado, del Ministerio de Salud o desconozco quién, contrata a un profesional particular que brinda el alojamiento en el sitio web mencionado, el cual se encuentra alojado en DonWeb.
• En ese sitio se almacenan todos los estudios PCR en formato PDF y sin autenticación de ningún tipo.
• El paciente va al hospital y se realiza su PCR.
• El paciente recibe el resultado (+/-) vía Whatsapp con un enlace de descarga directa a su informe.
• El PDF tiene todos los datos personales y de salud del paciente

El inconveniente aparece cuando el dueño del sitio olvida proteger el directorio "/constancias" y permite el listado abierto de todos los archivos PDF. Cualquiera que acceda al directorio abierto, sin autenticación previa, puede acceder a todos los resultados.

Al llamar directamente a su teléfono personal, el dueño del sitio .com.ar procedió a bloquear la navegación de directorio inmediatamente (¡gracias!), aunque eliminar el listado de directorios no soluciona el problema definitivamente. Luego, al reportar el problema de forma personal a un directivo de @DonWebOficial (¡gracias!), el sitio fue bloqueado temporalmente y luego los archivos sí fueron eliminados por el dueño del sitio.

Por el twit, decenas de personas se pusieron en contacto y rápidamente el CERT de Argentina también lo hizo para confirmar que el sitio había sido bloqueado.

Es importante remarcar que el sitio SISA, este sí dependiente del Ministerio de Salud, también tiene los mismos datos y los mismos archivos PDF alojados en su sitio web y los mismos también son accesibles, mediante otro procedimiento. Esto también fue reportado al CERT.

Al margen del problema técnico ya solventado y que, literalmente lleva 30 segundos solucionar, surgen los siguientes planteamientos:

• ¿Por qué un profesional particular es contratado por el Estado para realizar el hosting de datos sensibles? Incluso, surge la posibilidad de que dicha persona brinde este servicio "de onda", por buena predisposición o simplemente porque "tenía un servidor a mano". De acuerdo a la Ley, esta persona no es el responsable de datos, sino un encargado de los mismos.
• ¿Por qué un sitio .com.ar aloja datos sensibles sin ningún tipo de control previo?
• ¿Por qué el Estado no controla los datos sensibles publicados?
• ¿Por qué un particular cualquiera tiene datos de salud en su poder? No importan las buenas intenciones de la persona (que no dudo que las tiene), importa el proceso.
• ¿Dónde más están alojados esos datos? Hemos podido confirmar al menos dos lugares más que son "mirror" del original.
• ¿Cuántos sitios similares existen en Argentina?
• ¿Qué hace el Estado para controlar y protegernos?
• ¿Qué hace la Agencia de Acceso a la Información Pública (AAIP) para controlar y protegernos?
• Cuando el Estado contrata un proveedor de servicios privado, en el contrato regula como debe ser el tratamiento de los datos?
• ¿El estado es diligente al momento de contratar proveedores de servicios?
• En estos casos, ¿quién es el responsable de datos?
• ¿Cuál es la responsabilidad del Estado al enviar datos sensibles de salud a través de un canal de comunicación que pertenece a una empresa privada extranjera (Facebook+Whatsapp+Instagram) sospechada decenas de veces de robar y filtrar datos? 

El caso de un sitio que publica datos personales y de salud pasa tan desapercibido en Argentina y "hasta es tan normal", que varios personas afirman que los PCR deberían ser públicos. Este planteo tiene al menos un par de aristas:

1. Comparto que una estadística de PCR debería ser pública porque es para el bien común y de la ciencia. Incluso podría ser discutible si un dato de "Positivo" / "Negativo" debería ser público, pero NO es discutible que un dato personal como la dirección del paciente, su teléfono personal y sus enfermedades prevalentes sean públicos, simplemente porque no corresponde y porque es Ley en Argentina.
2. La Ley 25.326 es el mecanismo existente de protección de los datos personales en Argentina, que incluye los datos sensibles y de salud. En particular el art. 9 de la Ley donde señala que "El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado..." y sigue "Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad."

En el twit también aparece la discusión, ridícula a esta altura, de si: (1) esta información debe ser publicada en favor de la ciudadanía; (2) hay que ocultarla, posiblemente beneficiando a algún delincuente que la encuentre o; (3) denunciarla por los canales oficiales.

La respuesta para mí es obvia: primero se debe informar por el canal oficial y luego hacerlo público, porque la gente merece saber cómo se protegen (o no) sus datos. Ese modelo funcionaría en un país de verdad.

Entonces ¿por qué lo publiqué primero y luego lo reporté? La respuesta también es sencilla: la experiencia me enseño que si estos casos se hacen públicos, la gente involucrada (del Estado o privados) actúa más rápido.

Es triste, pero por eso no menos cierto. La desidia y la irresponsabilidad en Argentina son muy grandes. Pero también hay grandes profesionales muy responsables que están desbordados de trabajo y es imposible que puedan estar en todos lados, simplemente no se puede.

Para bien o para mal tengo un canal de publicación con muchos lectores, muchos de ellos profesionales de seguridad y no me cabe duda de que cada post llega y algunos calan hondo, ¿no sería una irresponsabilidad de mi parte no usar ese poder para intentar ayudar?

Sí, siempre existirá el que critica desde el anonimato o en canales privados, para ellos, este post y sigamos matando al mensajero.

Cristian de Segu-Info

Seguir leyendo...

Alibaba víctima de una gran fuga de datos por scraping

La última en haber sufrido un ataque ha sido Alibaba, la matriz de AliExpress y AliPay, propiedad del multimillonario Jack Ma. Según las primeras informaciones, habría 1.200 millones de datos de usuarios afectados del portal Taobao.

Así lo ha desvelado Bloomberg, que ha publicado que Alibaba ha sido víctima de una operación de scraping el pasado verano. Esta operación la ha llevado a cabo una empresa de consultoría de marketing externa, que habría estado recopilando los datos de Alibaba, incluyendo nombres de usuario, UID del comprador, y números de teléfono.

La información se ha desvelado a través de un caso judicial en China, cuyos documentos han sido expuestos y han revelado esta filtración. El ataque ha afectado en concreto a Taobao, propiedad de Alibaba, y uno de los portales de compra online más importantes de China. Este ataque fue perpetrado por un empleado de la empresa, que ha sido condenado a tres años de cárcel y tres meses de cárcel junto con su empleador, además de pagar una multa de 58.000 euros.

En total, se habrían recopilado más de mil millones de datos, aunque no hay evidencias de que éstos fueran vendidos a otras empresas, y por tanto ninguno de los usuarios de la compañía ha sufrido robos de dinero.

Taobao afirma que ellos dedican una gran cantidad de recursos para combatir todo tipo de técnicas de scraping en su plataforma para proteger la seguridad y privacidad de los datos. Por ello, en cuanto descubrieron que éste se estaba produciendo, lo pusieron en conocimiento de las autoridades, ya que hacerlo es ilegal; sobre todo después de que China quiera reducir el poder y la cantidad de información que tienen los gigantes tecnológicos en el país.

De hecho, a partir del 1 de septiembre, el gobierno chino podrá cerrar o multar a compañías que no gestionen correctamente datos importantes de los usuarios, donde además están haciendo una ley específica para proteger la información personal y que se implementará este mismo año.

AliExpress no se ha visto afectada

Tras conocerse la filtración, las acciones de la empresa han caído un 1,5%, a pesar de que "sólo" ha afectado a Taobao, y no a la empresa matriz ni a las otras filiales. Así, AliExpress no se habría visto afectada por esta filtración, por lo que todos los datos de esas cuentas están a salvo de momento, y no hay que contactar con atención al cliente de AliExpress pidiendo explicaciones.

Por tanto, no se trata de un hackeo al uso, sino de una filtración de datos. El problema es determinar quién es el culpable de que una empresa externa pudiera acceder a esos datos de los usuarios. El acusado afirma que usó un rastreador y que no "omitió, descifró o destruyó" ninguna protección, por lo que simplemente se aprovechó de un fallo de diseño de Taobao. Sin embargo, desde Taobao afirman que sí se rompió cifrado y protección, por lo que no sabremos finalmente de quien fue la culpa, aunque sí conocemos el delito y la condena final a quien lo perpetró.

Fuente: Bloomberg

Seguir leyendo...