20 oct. 2020

Explotan vulnerabilidades en SS7 para robar cuenta de Telegram y email

Se explotó la vulnerabilidad del protocolo de telecomunicaciones SS7, para dirigirse a 20 criptoejecutivos. A pesar de que se desarrolló por primera vez en 1975, el protocolo SS7 actualmente se utiliza de manera generalizada en todo el mundo.

Se cree que los estafadores han intentado interceptar los códigos de autenticación de dos factores de las víctimas en un ataque contra la empresa de telecomunicaciones Partner Communications Company, con sede en Israel, antes conocida como Orange Israel. El mes pasado varios delincuentes comprometieron las cuentas de mensajería de Telegram y de correo electrónico de varios ejecutivos de criptomonedas al explotar una vulnerabilidad en el protocolo creado hace décadas.

La Autoridad Nacional de Seguridad Cibernética de Israel y el organismo nacional de inteligencia del Mossad actualmente están investigando los ataques. Según la publicación de Bleeping Computer, los dispositivos de al menos 20 suscriptores de Partner Communications Company fueron puestos en peligro.

El análisis del evento realizado por la empresa Pandora Security, con sede en Israel, sugiere que es probable que los dispositivos hayan sido violados a través de un ataque al Signaling System 7 (SS7). Este sistema de señalización comprende un conjunto de protocolos que se utilizan para facilitar el intercambio de información dentro de las redes telefónicas públicas conmutadas que interactúan a través de las redes de señalización digital.

Los atacantes pueden explotar el SS7 para interceptar mensajes de texto y llamadas utilizando una función de itinerancia y "actualizando la ubicación de su dispositivo como si estuviera registrado en una red diferente".

El cofundador de Pandora, Tsashi Ganot, advirtió que los gobiernos nacionales deben actualizar su infraestructura de telecomunicaciones para protegerse contra las amenazas modernas a la seguridad. Dijo que los delincuentes también se habían hecho pasar por sus víctimas en Telegram en intentos infructuosos de atraer a conocidos cercanos para hacer operaciones de criptomonedas:

Los ataques al SS7 son semejantes al intercambio de SIM que reasigna el número de teléfono asociado a la tarjeta SIM de la víctima a un dispositivo bajo el control de los atacantes. Los proveedores de telecomunicaciones con sede en los Estados Unidos se han enfrentado a múltiples demandas de clientes ejecutivos de criptomonedas que han sido blanco de ataques de intercambio de SIM.

Fuente: BC

Cómo prevenir las 11 amenazas en Cloud Computing [II]

Los últimos riesgos involucrados en la computación en la nube apuntan a problemas relacionados con la configuración y la autenticación en lugar del enfoque tradicional en el malware y las vulnerabilidades, según un nuevo informe de Cloud Security Alliance.

El uso de la nube para alojar los datos, las aplicaciones y otros activos de su empresa ofrece varios beneficios en términos de administración, acceso y escalabilidad. Pero la nube también presenta ciertos riesgos de seguridad. Tradicionalmente, esos riesgos se han centrado en áreas como denegación de servicio, pérdida de datos, malware y vulnerabilidades del sistema. El informe argumenta que las últimas amenazas en la seguridad de la nube ahora se han trasladado a decisiones tomadas en torno a la estrategia e implementación de la nube.

Este artículo también está disponible para descargar en inglés: Cómo prevenir las 11 amenazas principales en la computación en la nube [PDF en inglés].

Los 5 puntos anteriores se pueden leer aquí: Cómo prevenir las 11 amenazas en Cloud Computing.

6. Amenazas internas (Insiders)

Los insiders no tienen que atravesar firewall, VPN u otras defensas de seguridad y, en su lugar, operan en un nivel confiable donde pueden acceder directamente a redes, sistemas informáticos y datos confidenciales.

Impacto de negocios

  • Las amenazas internas pueden resultar en la pérdida de información patentada y propiedad intelectual.
  • El tiempo de inactividad del sistema asociado con los ataques internos puede afectar la productividad de la empresa.
  • La pérdida de datos puede reducir la confianza en los servicios de la empresa.
  • Tratar con incidentes de seguridad interna requiere contención, remediación, respuesta a incidentes, investigación, análisis posterior a incidentes, escalado, monitoreo y vigilancia, todo lo cual puede sumarse a la carga de trabajo y al presupuesto de seguridad de una empresa.

Conclusiones y recomendaciones clave

  • Tome medidas para minimizar la negligencia interna para mitigar las consecuencias de las amenazas internas.
  • Brinde capacitación a sus equipos de seguridad para instalar, configurar y monitorear adecuadamente sus sistemas informáticos, redes, dispositivos móviles y dispositivos de respaldo.
  • Brinde capacitación a sus empleados habituales para informarles cómo manejar los riesgos de seguridad, como el phishing y la protección de los datos corporativos que llevan fuera de la empresa en computadoras portátiles y dispositivos móviles.
  • Se requieren contraseñas seguras y actualizaciones frecuentes de contraseñas.
  • Informar a los empleados de las repercusiones relacionadas con la participación en actividades maliciosas.
  • Audite de forma rutinaria los servidores en la nube y en las instalaciones, y luego corrija cualquier cambio desde la línea de base segura establecida en toda la organización.
  • Asegúrese de que los sistemas de seguridad de acceso privilegiado y los servidores centrales estén limitados a un número mínimo de empleados, y que estas personas incluyan solo a aquellos con la capacitación para manejar la administración de servidores informáticos de misión crítica.
    Supervise el acceso a todos los servidores informáticos en cualquier nivel de privilegio.

7. Interfaces y API inseguras

Las API (Interfaces de Programación de Aplicaciones) y las UI (Interfaces de Usuario) suelen ser las partes más expuestas de un sistema, a menudo el único activo con una dirección IP pública disponible fuera del límite de confianza.

Desde la autenticación y el control de acceso hasta el cifrado y el monitoreo de la actividad, estas interfaces deben diseñarse para proteger contra intentos tanto accidentales como maliciosos de eludir la seguridad.

Impacto de negocios

  • Aunque la mayoría de los proveedores de la nube intentan integrar la seguridad en sus modelos, los clientes de la nube también deben comprender las implicaciones de seguridad.
  • Un conjunto débil de interfaces y API expone a las organizaciones a varios problemas de seguridad relacionados con la confidencialidad, integridad, disponibilidad y responsabilidad.

Conclusiones y recomendaciones clave

  • Practique una buena higiene de API. Esto incluye la supervisión diligente de elementos como inventarios, pruebas, auditorías y protecciones de actividad anormal.
  • Asegure la protección adecuada de las claves API y evite la reutilización.
  • Considere la posibilidad de utilizar frameworks de API abiertos y estándar; por ejemplo Open Cloud Computing Interface (OCCI) e Cloud Infrastructure Management Interface (CIMI).

8. Plano de control débil

El plano de control habilita la seguridad y la integridad para complementar el plano de datos, que proporciona la estabilidad de los datos. Un plano de control débil significa que la persona a cargo no tiene el control total de la lógica, la seguridad y la verificación de la infraestructura de datos.

Impacto de negocios

  • Un plano de control débil podría provocar la pérdida de datos, ya sea por robo o corrupción.
  • También se puede incurrir en sanciones reglamentarias por la pérdida de datos.
  • Con un plano de control débil, es posible que los usuarios tampoco puedan proteger sus aplicaciones y datos comerciales basados ​​en la nube.

Conclusiones y recomendaciones clave

  • Los controles de seguridad adecuados proporcionados a través de un proveedor de nube son necesarios para que los clientes de la nube puedan cumplir con sus obligaciones legales y estatutarias.
  • Los clientes de la nube deben realizar la debida diligencia y determinar si el servicio en la nube que pretenden utilizar posee un plano de control adecuado.

9. Fallos de la metaestructura y de la aplicación

Existen fallas potenciales en múltiples niveles en el modelo de metaestructura y aplicación. Por ejemplo, la implementación deficiente de la API por parte del proveedor de la nube ofrece a los atacantes la oportunidad de interrumpir a los clientes de la nube la confidencialidad, la integridad o la disponibilidad del servicio.

Impacto de negocios

  • La metaestructura y la estructura de la aplicación son componentes críticos de un servicio en la nube. Las fallas que involucran estas características a nivel de proveedor de nube pueden afectar gravemente a todos los consumidores de servicios.
  • Al mismo tiempo, las configuraciones incorrectas por parte del cliente podrían perturbar al usuario financiera y operativamente.

Conclusiones y recomendaciones clave

  • Los proveedores de la nube deben ofrecer visibilidad y exponer las mitigaciones para contrarrestar la falta de transparencia inherente de la nube para los clientes.
  • Los clientes de la nube deben implementar funciones y controles adecuados en los diseños nativos de la nube.
  • Todos los proveedores de la nube deben realizar pruebas de penetración y proporcionar hallazgos a los clientes.

10. Visibilidad limitada del uso de la nube

La visibilidad limitada del uso de la nube ocurre cuando una organización no tiene la capacidad de visualizar y analizar si el uso del servicio en la nube dentro de la organización es seguro o malicioso.

Impacto de negocios

  • Falta de gobernanza. Cuando los empleados no están familiarizados con el acceso adecuado y los controles de gobierno, los datos corporativos confidenciales se pueden colocar en ubicaciones de acceso público en lugar de en ubicaciones de acceso privado.
  • Falta de conciencia. Cuando los datos y los servicios están en uso sin el conocimiento de la empresa, no pueden controlar su IP. Eso significa que el empleado tiene los datos, no la empresa.
  • Falta de seguridad. Cuando un empleado configura incorrectamente un servicio en la nube, puede volverse explotable no solo para los datos que residen en él, sino también para datos futuros.
  • El malware, las redes de bots, el malware de minería de criptomonedas y más pueden comprometer los contenedores en la nube, poniendo datos organizacionales, servicios y finanzas en riesgo.

Conclusiones y recomendaciones clave

  • La mitigación de estos riesgos comienza con el desarrollo de un esfuerzo completo de visibilidad de la nube de arriba hacia abajo. Este proceso generalmente comienza con la creación de una solución integral que se vincule con las personas, los procesos y la tecnología.
  • Solicite capacitación a toda la empresa sobre las políticas y el cumplimiento de uso de la nube aceptados.
  • Todos los servicios en la nube no aprobados deben ser revisados ​​y aprobados por el arquitecto de seguridad en la nube o la administración de riesgos de terceros.
  • Invierta en soluciones como agentes de seguridad de acceso a la nube (CASB) o puerta de enlace definida por software (SDG) para analizar las actividades salientes y ayudar a descubrir el uso de la nube, los usuarios en riesgo y seguir el comportamiento de los empleados con credenciales para identificar anomalías.
  • Invierta en un firewall de aplicaciones web (WAF) para analizar todas las conexiones entrantes a sus servicios en la nube en busca de tendencias sospechosas, malware, denegación de servicio distribuida (DDoS) y riesgos de botnet.
  • Seleccione soluciones que estén diseñadas específicamente para monitorear y controlar todas sus aplicaciones empresariales clave en la nube (planificación de recursos empresariales, gestión de capital humano, experiencia comercial y gestión de la cadena de suministro) y garantizar que se puedan mitigar los comportamientos sospechosos.
  • Implemente un modelo de confianza cero en toda su organización.

11. Abuso y uso nefasto de los servicios en la nube

Los actores maliciosos pueden aprovechar los recursos de computación en la nube para dirigirse a usuarios, organizaciones u otros proveedores de la nube, y también pueden alojar malware en los servicios en la nube. Algunos ejemplos del uso indebido de los recursos de la nube incluyen: lanzamiento de ataques DDoS, campañas de correo electrónico no deseado y phishing, "extracción" de moneda digital, fraude de clics automatizado a gran escala, ataques de fuerza bruta de bases de datos de credenciales robadas y alojamiento de contenido malicioso o pirateado.

Impacto de negocios

  • Si un atacante ha comprometido el plano de gestión de la infraestructura en la nube de un cliente, el atacante puede utilizar el servicio en la nube con fines ilícitos mientras el cliente paga la factura. La cuenta podría ser sustancial si el atacante consumiera recursos sustanciales, como la minería de criptomonedas.
  • Los atacantes también pueden usar la nube para almacenar y propagar malware. Las empresas deben tener controles para hacer frente a estos nuevos vectores de ataque. Esto puede significar la adquisición de tecnología de seguridad que pueda monitorear la infraestructura en la nube o las llamadas API desde y hacia el servicio en la nube.

Conclusiones y recomendaciones clave

  • Las empresas deben monitorear a sus empleados en la nube, ya que los mecanismos tradicionales no pueden mitigar los riesgos que plantea el uso de servicios en la nube.
  • Emplee tecnologías de prevención de pérdida de datos (DLP) en la nube para monitorear y detener cualquier exfiltración de datos no autorizada.

"La complejidad de la nube puede ser el lugar perfecto para que los atacantes se escondan, ofreciendo ocultación como plataforma de lanzamiento para un daño mayor", dijo John Yeoh, vicepresidente global de investigación de CSA, en un comunicado de prensa. "El desconocimiento de las amenazas, los riesgos y las vulnerabilidades hace que sea más difícil proteger a las organizaciones de la pérdida de datos. Los problemas de seguridad descritos en esta iteración del informe Top Threats, por lo tanto, son un llamado a la acción para desarrollar y mejorar la concientización, configuración y gestión de identidad".

Fuente: TechRepublic

19 oct. 2020

2BaGoldMule: Operación internacional contra casos de lavado de dinero con criptomonedas

En los últimos días hubo una oleada de redadas, arrestos y cargos en todo el mundo contra el lavado de dinero mediante criptomonedas. El 15 de octubre, Europol anunció una operación exitosa a lo largo de 16 países que resultó en el arresto de 20 personas sospechosas de trabajar para la red criminal QQAAZZ.

La organización está acusada de lavar decenas de millones de euros para los principales ciberdelincuentes desde 2016. Los fondos supuestamente se transfieren a través de cuentas bancarias internacionales, empresas fantasma con sede en Polonia y Bulgaria y mediante servicios de mezcla de criptomonedas.

Se registraron alrededor de 40 sitios en Reino Unido, España, Italia, Letonia y Bulgaria como parte de la "Operación 2BaGoldMule", con arrestos realizados en Australia, Estados Unidos, Reino Unido, Portugal, España, Letonia y Polonia.


Mapa de países participantes y detenciones: Europol

El uso de criptomonedas con fines criminales se ha puesto en evidencia una vez más con la última acusación del Departamento de Justicia de los EE.UU. contra una red de lavado de dinero para carteles de drogas en México.

El mismo día, un hombre de 40 años fue arrestado en Nueva Zelanda por usar criptomonedas para lavar más de $2 millones de dólares para criminales. El hombre también lavó fondos comprando vehículos de lujo, incluidos un Lamborghini y un Mercedes G63. El residente de Auckland ahora enfrenta 30 cargos, incluidas acusaciones de obtener $1 millón en crédito de un banco usando el mismo método. Otros seis neozelandeses fueron arrestados en una serie de redadas y confiscaciones de activos en todo el país el día anterior.

El 15 de octubre se produjo también la apertura por parte del Departamento de Justicia de EE.UU. de una acusación sustitutiva en la que se acusaba a seis personas de participar en una conspiración para "lavar millones de dólares producto de la droga en nombre de cárteles extranjeros".

La acusación formal alega que los individuos utilizaron casinos, empresas falsas, contrabando de efectivo y cuentas bancarias para lavar dinero en nombre de los sindicatos de la droga. Un sospechoso también está acusado de planear sobornar a un funcionario del Departamento de Estado de los Estados Unidos utilizando criptomonedas, con la esperanza de que el funcionario creara pasaportes estadounidenses fraudulentos para él y sus asociados.

El Departamento de Justicia de los Estados Unidos realizó una acusación formal el pasado 15 de octubre del 2020 contra seis individuos acusados de lavar millones de dólares de ganancias de drogas en nombre de carteles mexicanos.

El archivo publicado en el sitio oficial del organismo de justicia estadounidense, va en contra de seis personas de origen asiático acusados de participar en una conspiración de un año para usar casinos, compañías fantasmas, efectivo, criptomonedas y cuentas bancarias en los EE.UU. , para blanquear dinero en nombre de organizaciones de tráfico de drogas de México.

Según el documento, la acusación también alega que uno de los implicados "planeaba sobornar a un funcionario del Departamento de Estado de los EE.UU. Mediante transferencias bancarias y criptomonedas para crear pasaportes estadounidenses que ésta persona y sus socios usarían para ingresar a los Estados Unidos".

Las acusaciones son resultados de una investigación encubierta de siete meses, además del trabajo general realizado contra la redes asiáticas de lavado de dinero en los Estados Unidos, China y otros lugares no especificados por espacio de cuatro años por el Departamento de Justicia.

El caso fue investigado como parte de dos Grupos de Trabajo de Lucha contra las Drogas del Crimen Organizado "OCDETF", un grupo de trabajo de múltiples agencias y jurisdicciones que proporciona fondos federales a las agencias involucradas en la lucha contra el tráfico de drogas.

Además, el Departamento de Justicia contó con la colaboración de organismo de México, Australia, Nueva Zelanda y Guatemala durante esta investigación, que ha llevado a cinco de las seis personas tras las rejas por los delitos de tráficos de drogas y lavado de dinero.

Los seis delincuentes según el informe, se comunicaban la mayoría de las actividades ilícitas entre ellos a través de aplicaciones de mensajería móvil como WhatsApp y WeChat, y trabajaban como una organización cuya tarea consistía en ayudar a los carteles de la droga en México a lavar millones de dólares producto de las ganancias por el tráfico de estupefacientes.

Drogas y criptomonedas

No es la primera vez que las criptomonedas aparecen entre los archivos de acusaciones de los organismos de justicia como medio de pago o blanqueo de capitales de dinero proveniente de actividades ilícitas

Desde el célebre caso de Silk Road en el 2013, el uso de Bitcoin y otras criptomonedas ha estado a la orden del día para criminales y organizaciones especializadas en el blanqueo de capitales en todo el mundo, tal cómo ocurre con el dólar americano.


El pasado mes de julio de este año, las fuerzas del orden estadounidense anunciaban en ese sentido que estaban vigilando la compra de drogas con Bitcoin en la darknet , o mejor conocida como la 'web oscura'.

El NCIS señalaba en ése entonces, que había visto un aumento en las compras en la darknet usando Bitcoin de estupefacientes por parte de usuarios en suelo americano.

Según el informe de CipherTrace sobre delitos de criptomonedas y Contra Lavado de Dinero de la primavera de 2020, el promedio mundial de fondos delictivos directos recibidos por los exchanges disminuyó en un 47% en 2019. Esto demuestra un mínimo en tres años para los exchanges de criptomonedas en todo el mundo, ya que sólo el 0,17% de los fondos recibidos por los exchanges en 2019 proceden de fuentes delictivas.

Fuente: CoinTelegraph

Arquitectura CHERI podría reducir la cantidad de parches de MS y permitir el desarrollo de apps seguras

Microsoft, que publica unos 100 parches cada mes, está trabajando en una nueva arquitectura experimental que podría ser incluso más valiosa y barata que migrar a Rust. Desde hace algún tiempo, Rust ha sido visto como un potencial reemplazo de C++ en lo relativo a escribir algunos componentes de Windows.

Hay quienes consideran que C++ es anticuado y la propia Microsoft incluso reconoce que el cambio a Rust podría eliminar la necesidad constante de parches de seguridad. Tal suposición se debe principalmente a que la mayoría de las vulnerabilidades gravitan en torno a la seguridad de la memoria, aspecto supuestamente inherente a C++.

Sin embargo, hay razones para suponer que Microsoft no migrará a Rust a corto plazo, ya que la compañía está trabajando en una nueva arquitectura experimental que podría ser aún más valiosa.

Llamado CHERI (Capability Hardware Enhanced RISC), la infraestructura podría haber mitigado cerca de dos tercios de las vulnerabilidades de seguridad de la memoria que tuvieron que ser parcheadas en 2019, según ZDNet .

"[CHERI] proporciona características de protección de la memoria contra muchas vulnerabilidades explotadas, o en otras palabras, una solución arquitectónica que desbarata los expoits", explicaron Nicolas Joly, Saif ElSherei y Saar Amar del Centro de Respuesta de Seguridad de Microsoft.

El trabajo en las arquitecturas de conjuntos de instrucciones (ISA) de CHERI está en marcha en la Universidad de Cambridge en asociación con el diseñador de chips RISC Arm y Microsoft. CHERI tiene objetivos similares a Project Verona, el desarrollo de lenguaje experimental inspirado en Rust de Microsoft para la programación de infraestructura segura. Un portavoz de la Universidad de Cambridge añadió que "CHERI amplía las arquitecturas convencionales de conjuntos de instrucciones de hardware (ISA) con nuevas características arquitectónicas para permitir una protección de la memoria granular y una compartimentación del software altamente escalable".

CHERI tiene características de protección de memoria que adaptarían los lenguajes de programación históricamente inseguros para la memoria y los harían más seguros contra vulnerabilidades ampliamente explotadas. El equipo de Microsoft revisó la séptima versión de CHERI ISA, la última versión de CHERI. Los investigadores también utilizaron CheriBSD, basado en el sistema operativo FreeBSD con protección de memoria y funciones de compartimentación de software compatibles con CHERI ISA. "Evaluamos de manera conservadora el porcentaje de vulnerabilidades informadas al Centro de respuesta de seguridad de Microsoft en 2019 y descubrimos que aproximadamente el 31% ya no representaría un riesgo para los clientes y, por lo tanto, no sería necesario abordarlo mediante una actualización de seguridad en un sistema CHERI basado en la configuración predeterminada. del sistema operativo CheriBSD", escribieron los investigadores de Microsoft en el artículo de investigación.

Fuente: ZDNet

Bad Neighbor (CVE-2020-16898): vulnerabilidad crítica en Windows (Parchea!)

El pasado martes, Microsoft publicó su boletín mensual de actualizaciones, en el que la compañía ha corregido 87 vulnerabilidades en varios de sus productos, de las cuales 12 han sido clasificadas como críticas.

El fallo "Bad Neighbor" de mayor gravedad, identificado como CVE-2020-16898 (CVSS 9.8), es una vulnerabilidad RCE en la pila TCP/IP de Windows debido a la forma en la que maneja los mensajes ICMPv6 Router Advertisement (RA).

Este fallo podría ser explotado mediante el envío de paquetes ICMPv6 Router Advertisment maliciosos y existe una PoC y un video. Además, se puede generar una BSOD con pocas líneas de código, por lo que existe la posibilidad de que la vulnerabilidad sea "wormeable" y se comience a explotar in-the-wild.


Este es un fallo en la implementación del RFC 6106 que se introdujo en Windows en 2019 y es probable que no se esté usando por lo que Microsoft ha publicado un workaround y Sergio de los Santos (@ssantosv) brinda los comandos para deshabilitarlo

El fallo CVE-2020-16947 (CVSS 8.1), es una vulnerabilidad de ejecución remota de código (RCE) en Microsoft Outlook, que se podría aprovechar engañando a la víctima para que abra un archivo especialmente diseñado con una versión vulnerable de Outlook.

Otras vulnerabilidades a tener en cuenta son otro fallo RCE en SharePoint, CVE-2020-16952 (CVSS 8.6), la cual tiene una PoC disponible, y el fallo CVE-2020-16938 (CVSS 5.5) para el que se ha divulgado información que podría facilitar su explotación.

Más boletines fuera de banda en Visual Studio Code

Microsoft también ha lanzado dos actualizaciones de emergencia para solventar nuevas vulnerabilidades que permitirían la ejecución remota de código en los sistemas afectados. Los nuevos fallos se seguridad están localizados en la biblioteca de códecs de Windows y en la aplicación Visual Studio Code.

El primer error, identificado con el identificador CVE-2020-17022, está relacionado con la forma en que la biblioteca de códecs de Windows trata los objetos en memoria y podría ser aprovechado a través de un fichero de imagen especialmente diseñado para lograr ejecutar código remoto. Se encuentran afectados todos aquellos sistemas Windows 10 en los que han sido instalado los códecs opcionales HEVC (High Efficiency Video Coding) o «HEVC del fabricante del dispositivo» desde Microsoft Store.

Se recomienda verificar la existencia de dichos códecs desde el apartado «Configuración», "Aplicaciones y características" y "HEVC, Opciones avanzadas", así como comprobar si se está utilizando una versión vulnerable de los mismos. Las versiones seguras son las siguientes: 1.0.32762.0, 1.0.32763.0 y posteriores.

El segundo error se ha identificado como CVE-2020-17023 y estaría causado por la forma en que Visual Studio Code maneja los ficheros JSON. Para aprovechar esta vulnerabilidad, un atacante podría convencer a un usuario objetivo para que clone un repositorio -que contiene un archivo ‘package.json’ malicioso- y lo abra con Visual Studio Code. La explotación exitosa de esta vulnerabilidad permitiría la ejecución de código arbitrario en el contexto del usuario actual, esto es, con su nivel de permisos.

Se recomienda aplicar los parches lo antes posible.

Fuentes:

18 oct. 2020

Vulnerabilidades en Magento: ejecución de código arbitrario, SQL injection y otras

Dos de las vulnerabilidades encontradas por los investigadores están catalogados como críticas. La primero de ellas, que ha sido etiquetada con el identificador CVE-2020-24407, podría permitir la ejecución de código arbitrario. Más concretamente, un atacante podría lograr subir ficheros maliciosos a la plataforma eludiendo los mecanismos que validan las extensiones permitidas.

El otro error crítico, una vulnerabilidad SQL Injection etiquetada con el identificador CVE-2020-24400, también es de alto riesgo pues podría permitir a un atacante remoto acceso de lectura o escritura a la base de datos. Si bien en ambos casos son necesarios privilegios de administrador, según el informe no se requiere autenticación previa.

Además de las anteriores, se han reportado y también corregido, seis vulnerabilidades importantes y una de severidad moderada. Listamos las mismas a continuación, comenzando por las de mayor riesgo:

  • CVE-2020-24402: La explotación de esta vulnerabilidad podría permitir la modificación no autorizada de la lista de clientes.
  • CVE-2020-24401, CVE-2020-24405 y CVE-2020-24403: Aprovechando estos errores, un atacante podría conseguir acceso no autorizado a recursos restringidos.
  • CVE-2020-24404: En este caso, un atacante podría conseguir modificar de forma no autorizada las páginas del CMS Magento.
  • CVE-2020-24408: Esta vulnerabilidad podría permitir a un atacante ejecutar código Javascript arbitrario en el navegador (Cross-site Scripting almacenado).
  • CVE-2020-24406: De severidad moderada, podría permitir la divulgación de información confidencial, concretamente referente al directorio raíz.
La mayoría de ellas no requiere atenticación previa, aunque sí permisos de administrador, con excepción de la vulnerabilidad Cross-site Scripting etiquetada como CVE-2020-24408, que sí requiere credenciales pero no privilegios de administrador.

Todas ellas se encuentran corregidas en las siguientes versiones lanzadas por Adobe las cuales están disponibles en su pagina oficial, por lo que se recomienda la actualización de las plataformas:

Fuente: Hispasec | Adobe | ThreatPost

17 oct. 2020

Zoom habilita E2EE a todos los usuarios (con identificación previa)

Como adelantamos la semana pasada, Zoom anunció que implementará el cifrado de extremo a extremo (E2EE) para todos los usuarios a partir de la próxima semana, como parte de una vista previa técnica de 30 días.

Para comenzar a usar E2EE al unirse a nuevas reuniones durante esta fase de implementación, los participantes de la reunión deberán unirse usando el cliente de escritorio Zoom, la aplicación móvil o desde Zoom Rooms. Los usuarios sabrán si su reunión utiliza E2EE si se muestra un logotipo de escudo verde con un candado en la esquina superior izquierda de la ventana.

Zom E2EE y sus desventajas actuales

En las reuniones típicas, la nube de Zoom genera claves de cifrado y las distribuye a los participantes de la reunión que utilizan las aplicaciones de Zoom a medida que se unen.

Con el E2EE de Zoom, el anfitrión de la reunión genera claves de cifrado y utiliza criptografía de clave pública para distribuir estas claves a los demás participantes de la reunión. Todas las claves de cifrado E2EE son generadas por las máquinas de los participantes de la reunión en lugar de los propios servidores de Zoom, lo que hace que todos los datos intercambiados sean indescifrables por Zoom u otros terceros, con la excepción de cada participante de la reunión. Los servidores de Zoom se vuelven retransmisores ajenos y nunca ven las claves de cifrado necesarias para descifrar el contenido de la reunión.

Para comenzar a usar E2EE al unirse a las reuniones de Zoom, los usuarios deben habilitar las reuniones de E2EE en el nivel de la cuenta y optar por las reuniones de E2EE por reunión.


Si bien E2EE proporciona a los usuarios seguridad, privacidad y protección de datos mejoradas para las reuniones de Zoom, algunas funciones están limitadas cuando está habilitado. "Al habilitar esta versión del E2EE de Zoom en sus reuniones, se deshabilitan ciertas funciones, como unirse antes del anfitrión, grabación en la nube, transmisión, transcripción en vivo, salas de reuniones, encuestas, chat privado 1: 1 y reacciones a la reunión", agregó Krohn.

Autenticación basada en riesgos para usuarios

Un borrador de diseño de E2EE de Zoom se publicó en GitHub el 22 de mayo [PDF] y actualizó el 17 de junio (se puede encontrar una lista de todos los cambios aquí).

La opción de reunión E2EE fue anunciada por primera vez por Zoom en mayo de 2020 como una función que solo estará disponible para clientes de pago pero, luego el director de Zoom dijo que los usuarios básicos/gratuitos también podrán usar E2EE después de verificar sus cuentas mediante una identificación adicional, como su número de teléfono.

Zoom estima que la próxima fase de implementación de E2EE comenzará en 2021, agregando integración de inicio de sesión único (SSO) y una mejor administración de identidad.

Fuente: BC

16 oct. 2020

Cómo prevenir las 11 amenazas en Cloud Computing [I]

Los últimos riesgos involucrados en la computación en la nube apuntan a problemas relacionados con la configuración y la autenticación en lugar del enfoque tradicional en el malware y las vulnerabilidades, según el informe de Cloud Security Alliance

El uso de la nube para alojar los datos, las aplicaciones y otros activos de su empresa ofrece varios beneficios en términos de administración, acceso y escalabilidad. Pero la nube también presenta ciertos riesgos de seguridad. Tradicionalmente, esos riesgos se han centrado en áreas como denegación de servicio, pérdida de datos, malware y vulnerabilidades del sistema. El informe argumenta que las últimas amenazas en la seguridad de la nube ahora se han trasladado a decisiones tomadas en torno a la estrategia e implementación de la nube.

Basado en una encuesta de 241 expertos de la industria sobre problemas de seguridad en la industria de la nube, el informe Top Threats to Cloud Computing: The Egregious 11 de CSA se centró en 11 amenazas, riesgos y vulnerabilidades notables en entornos de nube. Para cada amenaza descrita, el informe destaca el impacto comercial, ejemplos específicos y recomendaciones en forma de conclusiones clave.

Este artículo también está disponible para descargar en inglés: Cómo prevenir las 11 amenazas principales en la computación en la nube [PDF en inglés].

  1. Data Breaches
  2. Misconfiguration and Inadequate Change Control
  3. Lack of Cloud Security Architecture and Strategy
  4. Insufficient Identity, Credential, Access and Key Management
  5. Account Hijacking 
  6. Insider Threat
  7. Insecure Interfaces and APIs
  8. Weak Control Plane
  9. Metastructure and Applistructure Failures
  10. Limited Cloud Usage Visibility
  11. Abuse and Nefarious Use of Cloud Services (10)

1. Violaciones de datos

Una filtración de datos puede ser cualquier incidente o ataque de ciberseguridad en el que una persona no autorizada vea, robe o utilice información sensible o confidencial.

Impacto de negocios

  • Las filtraciones de datos pueden dañar la reputación de una empresa y fomentar la desconfianza de los clientes y socios.
  • Una infracción puede dar lugar a la pérdida de propiedad intelectual (PI) de los competidores, lo que afectará el lanzamiento de un nuevo producto.
  • Las implicaciones regulatorias muchas resultan en pérdidas financieras.
  • El impacto en la marca de una empresa podría afectar su valor de mercado.
  • Pueden surgir responsabilidades legales y contractuales.
  • Los gastos financieros pueden ocurrir como resultado de respuesta a incidentes y análisis forense.

Conclusiones y recomendaciones clave

  • Definir el valor comercial de los datos y el impacto de su pérdida es esencial para las organizaciones que poseen o procesan datos.
  • La protección de los datos está evolucionando hacia una cuestión de quién tiene acceso a ellos.
  • Los datos accesibles a través de Internet son el activo más vulnerable a una configuración incorrecta o explotación.
  • Las técnicas de cifrado pueden proteger los datos, pero también pueden obstaculizar el rendimiento del sistema y hacer que las aplicaciones sean menos fáciles de usar.
  • Un plan de respuesta a incidentes sólido y bien probado que considere el proveedor de la nube y las leyes de privacidad de datos puede ayudar a las víctimas de violaciones de datos a recuperarse.

2. Configuración incorrecta y control de cambios inadecuado

La configuración incorrecta ocurre cuando los activos informáticos se configuran incorrectamente, dejándolos vulnerables a actividades maliciosas. Algunos ejemplos de configuración incorrecta incluyen: elementos o contenedores de almacenamiento de datos no seguros, permisos excesivos, credenciales predeterminadas sin cambios y ajustes de configuración, controles de seguridad estándar deshabilitados, sistemas sin parches y registro o monitoreo deshabilitados, y acceso sin restricciones a puertos y servicios.

Impacto de negocios

  • El impacto empresarial depende de la naturaleza de la configuración incorrecta y de la rapidez con la que se detecta y se resuelve.
  • El problema más común es la exposición de los datos almacenados en repositorios en la nube.

Conclusiones y recomendaciones clave

  • Dado que los recursos basados ​​en la nube pueden ser complejos y dinámicos, su configuración puede resultar difícil.
  • Los controles y enfoques tradicionales para la gestión del cambio no son efectivos en la nube.
  • Las empresas deben adoptar la automatización y utilizar tecnologías que busquen continuamente recursos mal configurados y solucionen problemas en tiempo real.

3. Falta de arquitectura y estrategia de seguridad en la nube

A medida que las empresas migran partes de su infraestructura de TI a la nube pública, uno de los mayores desafíos es implementar la seguridad adecuada para protegerse contra los ataques cibernéticos. Asumir que puede simplemente "levantar y cambiar" su pila de TI interna existente y los controles de seguridad a la nube puede ser un error.

Impacto de negocios

  • Se requiere una estrategia y una arquitectura de seguridad adecuadas para mover, implementar y operar de manera segura en la nube.
  • Los ciberataques exitosos debido a una seguridad débil pueden provocar pérdidas financieras, daños a la reputación, repercusiones legales y multas.

Conclusiones y recomendaciones clave

  • Asegúrese de que la arquitectura de seguridad se alinee con sus metas y objetivos comerciales.
  • Desarrollar e implementar un marco de arquitectura de seguridad.
  • Asegúrese de que el modelo de amenazas se mantenga actualizado.
  • Brinde visibilidad continua de la postura de seguridad real.

4. Gestión insuficiente de identidades, credenciales, acceso y claves

Los incidentes de seguridad y las infracciones pueden ocurrir debido a la protección inadecuada de las credenciales, la falta de rotación automatizada regular de claves criptográficas y contraseñas, la falta de sistemas escalables de administración de identidades y credenciales, la falla en el uso de la autenticación multifactor y la falla en el uso de contraseñas seguras. .

Impacto de negocios

  • Una gestión insuficiente de identidades, credenciales o claves puede permitir el acceso no autorizado a los datos.
  • Como resultado, los actores malintencionados que se hacen pasar por usuarios legítimos pueden leer, modificar y eliminar datos.
  • Los delincuentes informáticos también pueden emitir funciones de administración y plano de control, espiar datos en tránsito y liberar malware que parece provenir de una fuente legítima.

Conclusiones y recomendaciones clave

  • Proteja las cuentas que incluyen la autenticación de dos factores y limitan el uso de cuentas raíz.
  • Practique los controles de identidad y acceso más estrictos para los usuarios y las identidades de la nube.
  • Separe y segmente cuentas, nubes privadas virtuales (VPC) y grupos de identidad según las necesidades comerciales y el principio de privilegios mínimos.
  • Rote las claves, elimine las credenciales y privilegios no utilizados, emplee la administración central y programática de claves.

5. Secuestro de cuentas

Mediante el secuestro de cuentas, los atacantes obtienen acceso y abusan de las cuentas que son altamente privilegiadas o sensibles. En entornos de nube, las cuentas con mayor riesgo son las suscripciones o las cuentas de servicios en la nube.

Impacto de negocios

  • Dado que el secuestro de cuentas implica un compromiso y control total de una cuenta, la lógica empresarial, la función, los datos y las aplicaciones que dependen de la cuenta pueden estar en riesgo.
  • Las consecuencias del secuestro de cuentas pueden ser graves. Algunos casos de incumplimiento recientes conducen a importantes interrupciones operativas y comerciales, incluida la eliminación completa de activos, datos y capacidades.
  • El secuestro de cuentas puede desencadenar fugas de datos que provoquen daños a la reputación, degradación del valor de la marca, exposición a responsabilidad legal y divulgaciones de información personal y comercial confidencial.

Conclusiones y recomendaciones clave

  • El secuestro de cuentas es una amenaza que debe tomarse en serio.
  • Los controles de IAM y de defensa en profundidad son clave para mitigar el secuestro de cuentas.

Continúa leyendo parte II

Fuente: TechRepublic

Desbaratan botnet Trickbot de un millón de computadoras

La operación, coordinada entre, ESET, Microsoft, el centro de investigación Black Lotus Labs de Lumen y NTT, entre otros, consiguió desactivar los servidores de mando y control de Trickbot. ESET participó en el análisis técnico, proporcionando información estadística y nombres de dominio e IP conocidos de los servidores de mando y control. Trickbot es una botnet conocida por robar credenciales en computadoras comprometidas, pero en los últimos tiempos también llevó adelante ataques más dañinos, como los protagonizados por ransomware.

En un comunicado, ESET informa que solo en 2020, su plataforma de seguimiento analizó más de 125.000 muestras maliciosas y descargó y descifró más de 40.000 archivos de configuración utilizados por los diferentes módulos de Trickbot. Esto permitió a la compañía tener una visión excelente de los servidores de mando y control usados por esta botnet. La empresa de seguridad ha estado siguiendo las actividades de Trickbot desde su detección a finales de 2016.


"A lo largo de todo este tiempo, se ha observado cómo Trickbot comprometía dispositivos de una manera estable, convirtiéndola en una de las botnets más longevas", explica Jean-Ian Boutin, responsable de investigación de amenazas en ESET. "Trickbot es una de las familias de malware bancario más importantes y representa una amenaza para los usuarios de Internet en todo el mundo".

En sus años de funcionamiento, Trickbot se ha distribuido de diferentes maneras. Por ejemplo, recientemente se observó cómo se descargaba Trickbot en sistemas comprometidos por Emotet, otra botnet muy importante. En el pasado, Trickbot era utilizado principalmente como un troyano bancario que robaba cuentas bancarias y que pretendía realizar transferencias fraudulentas. Como mencionó ESET en su Informe de amenazas correspondiente al primer trimestre de 2020, Trickbot es una de las familias de malware bancario más prevalentes. 

Trickbot se caracteriza por ser un malware modular típicamente compuesto de: wrapper, loader (cargador) y un módulo de malware principal. Permite a su vez el uso de diferentes módulos / plugins que van ampliándose en sucesivas versiones para mejorar la funcionalidad. El wrapper se usa para evadir las técnicas de detección, ejecutando el cargador en memoria, que preparará el equipo para la ejecución del malware principal. Los módulos de Trickbot permiten, entre otras funciones, la obtención de información del sistema y red del equipo comprometido, robo de datos y credenciales, la ejecución de comandos y la propagación a otras redes.

Además, los operadores Trickbot pueden instalar herramientas adicionales como Cobalt Strike, y hacer uso de PowerShell Empire, PSExec y AdFind para instalar otro malware en el equipo, como es el caso del ya conocido ransomware Ryuk, del que han sido víctimas numerosas organizaciones, incluyendo centros de investigación médica, hospitales y universidades.

Lo que hace que Trickbot sea tan versátil es que sus funcionalidades se pueden ampliar enormemente con plugins. A lo largo del seguimiento, ESET recopiló y analizó 28 plugins diferentes. Algunos destinados a recopilar contraseñas de navegadores, clientes de correo electrónico y una variedad de aplicaciones, mientras que otros podían modificar el tráfico de red o autopropagarse.

Uno de los plugins más antiguos empleados por Trickbot es web injects, que permite al malware cambiar dinámicamente la web visitada por el equipo comprometido. Para funcionar, este plugin emplea ficheros de configuración específicos para un conjunto de webs, estando la mayoría de los ficheros identificados dirigidos a instituciones financieras conforme al informe publicado por ESET, que también vincula esta operativa y la flexibilidad proporcionada por Trickbot con el ransomware.

Por otro lado, en el informe publicado por Microsoft se destacan múltiples campañas simultáneas de Trickbot identificadas durante el mes de junio, donde la complejidad en el uso de técnicas refuerzan la creencia de que está siendo usado por grupos organizados. Precisamente, es el resultado de esta investigación junto con la preocupación de que el ransomware empañe las presidenciales de Noviembre lo que ha impulsado la toma de medidas para la neutralización del malware.

Trickbot-campaigns-2.pngCampañas, tácticas y técnicas empleadas por los operadores Trickbot. Fuente: Microsoft.

No obstante, esta victoria debe tomarse con cautela. Conforme Feodo Tracker, sitio web especializado en el seguimiento de botnets, aún existen servidores TrickBot operativos, como ya apuntaba la noticia publicada en KebsOnSecurity del pasado lunes. Si comparamos la siguiente imagen con la que aparece en el citado post, se aprecia un descenso considerable en el número de servidores de control Trickbot online, en tan sólo tres días.

Extracto de servidores de control Trickbot, búsqueda 14 de Octubre 2020. Fuente: Feodotracker.abuse.ch

En la noticia también se incluyen extractos del informe publicado por el grupo de ciberinteligencia Intel 471 al respecto de las acciones de Microsoft. En dicho informe se destaca que esta operación podría tener sólo impacto a corto plazo, debido fundamentalmente a dos factores: el uso de EmerDNS y Tor. EmerDNS es un sistema de nombres de dominio descentralizado que protege ante cualquier tipo de censura de acuerdo a la descripción de sus creadores, Emercon.

Esto hace que los dominios no puedan ser alterados, revocados o suspendidos por ningún usuario que no sea el propio creador del dominio. Por otra parte, los mecanismos de C&C soportan Tor, por lo que sólo la cooperación entre múltiples entidades y países podría contribuir a la identificación efectiva de las fuentes. Tal vez sea éste último factor el escalón más difícil de superar, considerando además los intereses contrapuestos de los implicados.

"Intentar eliminar esta amenaza es un verdadero desafío, ya que cuenta con muchos mecanismos de recuperación, y su conexión con otros actores del mundo criminal muy activos convierte la operación en algo extremadamente complejo", concluye el investigador de ESET. 

Más información:

15 oct. 2020

El 99% de las direcciones de Internet no tienen filtros que evitarían ciberataques

Un hacker español inicia un análisis masivo a los dominios de internet para comprobar si tienen unos filtros activados que evitarían la mayoría de suplantaciones y phishing: el 99% de la muestra analizada es vulnerable.

De momento ha podido analizar cerca de 40 millones de dominios, y menos de 50.000 de ellos tienen los filtros SPF, DKIM y DMARC activados.

Estos filtros son los que ayudan a que suplantar un dominio sea más difícil, una táctica muy empleada por los ciberdelincuentes para realizar ataques por correo aprovechándose del phishing o del spoofing y la inocencia de muchos trabajadores poco formados en seguridad informática.

El phishing es una de las puertas de entrada más comunes por la que los ciberdelincuentes son capaces de atacar empresas privadas y administraciones públicas. Los expertos insisten desde hace años en que los trabajadores son el eslabón "más débil" en la cadena de la ciberseguridad. Algunos profesionales del Instituto Nacional de Ciberseguridad prefieren plantear que los empleados son el eslabón más "importante".

Lo cierto es que, efectivamente, los profesionales son la primera línea de defensa de las organizaciones frente a ciberataques. Por más soluciones de seguridad informática que apliquen sus responsables —perimetrar sus sistemas, escalar y fragmentar privilegios, aplicar la doble autenticación—, si un usuario entrega su contraseña en un correo suplantado o si se descarga un malware pensando que es una carta de un superior, todo saltará igualmente por los aires.

Pero esta problemática no se puede zanjar descargando toda la responsabilidad únicamente en los empleados. Al menos eso piensa Marc Almeida, un profesional de la programación y un apasionado de la ciberseguridad que reside en Salou, Cataluña.

Almeida —Cibernicola, en redes sociales— ya llamó la atención de buena parte de la comunidad de la seguridad informática española hace unos meses cuando presentó los avances y las ambiciones que traían su proyecto Obelix Teh Honeypot, un sistema de 'sondas' capaces de detectar ataques en tiempo real en el ciberespacio. Estas sondas se camuflan en la red como si fuesen dispositivos o servidores abandonados, a expensas de los ataques de enjambres de bots.

Con Obelix, Marc Almeida pudo empezar a dibujar algunos famosos pew pew maps, una socarrona forma que tiene el argot de la ciberseguridad para referirse a los habituales mapas del mundo con el que las compañías de ciberseguridad tratan de impresionar a sus clientes. Pero sobre todo, y lo más importante: con Obelix, Almeida pudo empezar a hacerse nuevas preguntas.

Marc lleva 20 años trabajando en el sector técnico y siempre ha mantenido un perfil discreto. Quiere huir del vendehumismo y es consciente de que en el sector "todo es muy complicado". Pero dado que en los últimos meses se han registrado diversas suplantaciones con phishing —en las últimas semanas, al Ministerio de Trabajo o a Correos—, este especialista se plantea una cosa. "Hablemos de los problemas en su origen".

'Spoofing', el fenómeno detrás de muchas estafas e incidentes

Mientras que el phishing es un intento fraudulento de hacer creer a una víctima que está recibiendo y tratando un correo electrónico genuino, el spoofing va un paso más allá. Supone, de facto, la suplantación de una identidad en la red con fines espúreos.

El phishing, por un lado, puede ser un correo electrónico que recibas supuestamente de la Dirección General de Tráfico. La DGT no va a enviarte nunca un correo electrónico a altas horas de la noche recordándote ninguna supuesta multa impagada. Y menos te va a decir que para abrir la información sobre la penalización vas a tener que usar un sistema operativo Windows, como es el caso.

Este tipo de correos llegan además de emisores con direcciones de correo falsas. Por ejemplo, @interior.gov. Los correos del Gobierno de España usan los dominios .gob, con 'b'.

Pero, ¿qué ocurre si un ciberdelincuente está enviando emails desde una dirección aparentemente real del Gobierno de España? Lo que está haciendo ese ciberdelincuente es aprovecharse de un dominio mal configurado.

Aquí, Marc Almeida pone el dedo en la llaga.

SPF, DKIM y DMARC: protocolos tan básicos como olvidados

Si has recibido un correo procedente de una dirección aparentemente legítima y estás seguro de que es falso, es muy probable que estés ante un caso por el cual los ciberdelincuentes han conseguido aprovecharse de la vulnerabilidad de un dominio. Un dominio por lo general "aparcado" —en desuso— pero que no se ha segurizado debidamente.

Esta vulnerabilidad existe cuando los propietarios de las direcciones web no han activado de forma efectiva tres filtros esenciales en la ciberseguridad: los filtros SPDF, DKIM y DMARC.

El Instituto Nacional de Ciberseguridad abunda en un artículo publicado en su página web que el SPF es un protocolo para autenticar correos electrónicos que permite al propietario de un dominio "especificar qué servidores usará para el envío del email". El DKIM es otro protocolo que "asocia un nombre de dominio a un mensaje mediante técnicas criptográficas". Y el DMARC es "un estándar de autenticación de correos que verifica tanto SPF como DKIM".

A pesar de que resulta una obviedad para los expertos del INCIBE, una investigación del proyecto personal de Marc Almeida demuestra que menos del 2% de los dominios que ha podido analizar tienen activados estos filtros. De una muestra provisional de cerca de 40 millones de dominios.

Todo esto lo está haciendo Marc acompañado de varios de sus colaboradores. Como detalla en su propia web, el proyecto se conoce como Domain Hunter DMARC Edition, y funciona mediante un pequeño script —un código ejecutable de una categoría inferior a un programa informático— que es capaz de leer la información que extrae de los dominios que analiza para saber si tienen convenientemente configurados estos filtros que el propio INCIBE recomienda.

Marc lleva semanas trabajando con este proyecto. Tiene una base de 250 millones de dominios que consiguió adquiriéndosela a una compañía estadounidense. Es muy difícil cuantificar cuántos dominios puede haber en la red. Algunas estimaciones los elevan a los 1.200 millones.

Un análisis masivo que revela importantes agujeros de seguridad

En una conversación con Business Insider España, Marc Almeida revela que solo ha estudiado hasta ahora algo menos del 10% de toda la muestra total con la que cuenta. Es decir, de cerca de 250 millones de dominios, solo ha podido acceder a casi 40 millones. De esos 40 millones de dominios analizados, menos de 53.000 tenían bien configurados estos filtros.

En otras palabras: el 1% de los dominios de la muestra analizada por Marc cuentan con los parámetros de seguridad informática que recomiendan los expertos del INCIBE. En otras palabras: el 99% de la muestra examinada es vulnerable a técnicas de spoofing y suplantación de identidad.

De todos los dominios investigados, casi 680.000 de ellos están ligados a España. Son los dominios cuyas terminaciones son .es, .cat, .com.es, .gob.es, .eus, o .gal. De la muestra analizada hasta ahora, menos de 850 dominios —solo 850 dominios— están segurizados con los filtros anteriormente mencionados.

Con este trabajo, del que el propio Marc irá informando paulatinamente, el especialista espera "hacer una fotografía global" de este problema. "La idea es manejar mucha información, muchos datos, generar nueva información y hacerse más preguntas", reconoce.

En el ámbito de la seguridad informática, reconoce, hay "millones de frentes". "Y todos ellos son importantes". "Lo que no entiendo, y me gustaría entenderlo de forma fehaciente, es por qué esto no se está haciendo ya en todos lados".

El filtro DMARC, precisamente, es uno de los proyectos a implantar en el ámbito de la seguridad informática para este 2020 y 2021, según la consultora Gartner. Y, a tenor de lo que reflejan los primeros resultados de Domain Hunter de Marc Almeida, su implantación es prácticamente nula.

Autor: Alberto R. Aguiar
Fuente: Businessinsider.es