15 ene. 2021

Multa de €6 millones a Caixabank por uso indebido de los datos personales

Es la mayor multa de la Agencia Española de Protección de Datos, con 6 millones de euros. Un mes después de sancionar al BBVA, la AEPD multa a Caixabank con varias sanciones relacionadas con el uso indebido de los datos.

Tras sanciones como la de 600.000 euros a WhatsApp o los 1,2 millones de euros a Facebook en 2017, la Agencia de Protección de Datos ha dado un salto cuantitativo en sus sanciones. En concreto a dos de los mayores bancos de España.

Multas récord para los grandes bancos de España

En un documento de 177 páginas, la AEPD repasa y expone los motivos por los que ha decidido imponer las sanciones. En primer lugar, se resuelve que Caixabank incumplió los artículos 13 y 14 del RGPD, calificado como leve y por los que se impone una multa de dos millones de euros. Un artículo 13 del RGPD que hace mención a la "información que deberá facilitarse cuando los datos personales se obtengan del interesado".

En segundo lugar, la Agencia resuelve que Caixabank ha incumplido el artículo 6 del RGPD, calificado como muy grave, y por ello impone una multa de cuatro millones de euros. La Agencia expone que a su juicio, "no puede admitirse la actitud cooperante de CAIXABANK, que ha negado sistemáticamente los hechos, a pesar de su evidencia".
Multa Caixabank
Resolución de la AEPD.

En enero de 2018, la Agencia recibió la reclamación contra Caixabank en relación a las nuevas condiciones en materia de protección de datos personales. Se cuestiona el procedimiento, donde en caso de cancelar la cesión de datos, se obligaba a dirigir un escrito a cada una de las empresas.

La multa a Caixabank está relacionada con "la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, en concreto la relativa a la cesión de sus datos personales a todas las empresas del grupo".

Fuentes de Caixabank indican a Xataka que recurrirán y presentarán recurso por la vía judicial para intentar anular la sanción impuesta por la AEPD. CaixaBank defiende que su "actuación en materia de protección de datos personales es adecuada y conforme a las exigencias de la legislación española".

Fuente: Xataka

Bug en Windows 10 permite corromper el disco a través de un comando

Un usuario ha reportado una vulnerabilidad Zero-Day en Windows 10 permite corromper por completo un disco duro usando un simple comando. Este comando puede estar oculto en un acceso directo de Windows, en un ZIP, en un batch, o en cualquier otro tipo de archivo que permite ejecutar la línea de comandos. Al ejecutar el comando, Windows lanza un mensaje diciendo que es necesario reiniciar para reparar uno de los discos corruptos. Lo más grave del asunto es que este comando puede ejecutarse por cualquier usuario de Windows 10 que tenga una cuenta estándar y con pocos privilegios.

El comando corrompe de manera irrecuperable la unidad de almacenamiento. Ese comando está orientado para la unidad C, pero puede dañar cualquiera al cambiar el nombre de la unidad.

El comando que corrompe cualquier unidad de Windows 10

El fallo consiste en que, al ejecutar el comando, se indica que se acceda al atributo $i30 de NTFS en un archivo de una manera concreta. Este "$i30" es un atributo de NTFS asociado con directorios que contienen a su vez una lista de archivos y subcarpetas de un directorio. Esto es cómodo para hacer análisis forense de unidades de almacenamiento.

Sin embargo, no se sabe muy bien por qué se genera la corrupción, según apunta su descubridor, Jonas L, ya que la clave del registro que debería mostrar un pantallazo azul al corromperse no funciona, por lo que la única manera de saberlo es tener acceso al código fuente.

Tras ejecutar el comando, Windows muestra el error el archivo o directorio está dañado o es ilegible. Posteriormente, insta a reiniciar para que se ejecute la herramienta de reparación de discos en Windows 10. Sin embargo, el disco no puede ser recuperado, y en el registro se ve cómo se muestran numerosos errores indicando que la Master File Table (MFT) del disco tiene un registro que está dañado.

El comando no sólo puede generar problemas al ejecutarlo, sino que con simplemente bajar un archivo que enlace a él podemos quedarnos sin disco duro. Para ello, basta con crear un archivo .URL, y ponerle como ubicación de su icono el comando. Así, cuando Windows vaya a cargar la miniatura del icono del archivo, el comando se ejecuta sin que ni siquiera tengamos que abrir el archivo. El archivo puede esconderse dentro de archivos .ZIP, donde al descomprimirlos ya puede ejecutarse el comando.

La vulnerabilidad fue introducida en Windows 10 1803 (April 2018 Update), y sigue funcionando en la última versión actualizada de Windows 10 20H2.

Fuente: Bleeping Computer

14 ene. 2021

Adoptar DNS sobre HTTPS (DoH) en empresas

La Agencia Nacional de Seguridad de EE.UU. (NSA) publicó el documento "Adopción de DNS cifrado en entornos empresariales", que explica los beneficios y riesgos de adoptar el protocolo DNS sobre HTTPS (DoH), en entornos empresariales. La versión proporciona soluciones para una implementación segura basada en las necesidades de la red empresarial.

DNS traduce los nombres de dominio en URL en direcciones IP, lo que facilita la navegación por Internet. Sin embargo, se ha convertido en un vector de ataque popular para los delincuentes. DNS comparte sus solicitudes y respuestas en texto sin formato, que puede ser visto fácilmente por terceros no autorizados. El DNS cifrado se utiliza cada vez más para evitar la interceptación y la manipulación del tráfico de DNS. A medida que el DNS cifrado se vuelve más popular, los propietarios y administradores de redes empresariales deben comprender completamente cómo adoptarlo correctamente en sus propios sistemas. Incluso si la empresa no los ha adoptado formalmente, los navegadores más nuevos y otro software pueden intentar usar DNS cifrados de todos modos y eludir las defensas tradicionales basadas en DNS de la empresa.

DoH cifra las solicitudes de DNS, lo que evita la interceptación y la manipulación del tráfico de DNS. Si bien es bueno para garantizar la privacidad en las redes domésticas, DoH puede presentar riesgos para las redes empresariales si no se implementa de manera adecuada. Las recomendaciones detalladas ayudarán a los propietarios y administradores de redes empresariales a equilibrar la privacidad y el gobierno del DNS para sus redes. El documento describe la importancia de configurar las redes empresariales de manera adecuada para agregar beneficios y no obstaculizar sus controles de seguridad de DNS. Estos controles de DNS empresariales pueden prevenir numerosas técnicas de amenazas utilizadas por los actores de amenazas cibernéticas para el acceso inicial, comando y control, y exfiltración.

La NSA recomienda que el tráfico de DNS de una red empresarial, cifrado o no, se envíe solo al sistema de resolución de DNS empresarial designado. Esto garantiza el uso adecuado de los controles de seguridad empresariales esenciales, facilita el acceso a los recursos de la red local y protege la información de la red interna. Todos los demás solucionadores de DNS deben desactivarse y bloquearse.

La NSA busca publicar regularmente una guía de ciberseguridad única, procesable y oportuna para asegurar el Departamento de Defensa, los Sistemas de Seguridad Nacional y la Base Industrial de Defensa. Para obtener más información u otros productos de ciberseguridad, visite NSA.gov/cybersecurity-guidance.

Fuente: NSA

Malware SUNSPOT se utilizó para inyectar la puerta trasera de SolarWinds

A medida que continúa la investigación sobre el ataque a la cadena de suministro de SolarWinds, los investigadores de ciberseguridad han revelado una tercera cepa de malware que se implementó en el entorno de compilación para inyectar la puerta trasera en la plataforma de monitoreo de red Orion de la compañía.

Llamada Sunspot, esta herramienta se suma a una lista cada vez mayor de software malintencionado previamente divulgado, como Sunburst y Teardrop. "Este código altamente sofisticado y novedoso fue diseñado para inyectar el código malicioso Sunburst en la plataforma SolarWinds Orion sin despertar la sospecha de nuestros equipos de desarrollo y construcción de software", explicó el nuevo CEO de SolarWinds, Sudhakar Ramakrishna.

Si bien la evidencia preliminar encontró que los operadores detrás de la campaña de espionaje lograron comprometer la construcción de software y la infraestructura de firma de código de la plataforma SolarWinds Orion ya en octubre de 2019 para entregar la puerta trasera Sunburst, los últimos hallazgos revelan una nueva línea de tiempo que establece la primera violación de la red SolarWinds, el 4 de septiembre de 2019, todo realizado con la intención de implementar Sunspot.

Malware SUNSPOT

"Sunspot monitorea los procesos en ejecución para aquellos involucrados en la compilación del producto Orion y reemplaza uno de los archivos fuente para incluir el código de puerta trasera Sunburst", dijeron los investigadores de Crowdstrike en un análisis del lunes. Crowdstrike está rastreando la intrusión bajo el nombre de StellarParticle.

Una vez instalado, el malware ("taskhostsvc.exe") se otorga a sí mismo privilegios de depuración y comienza su tarea de secuestrar el flujo de trabajo de compilación de Orion mediante la supervisión de los procesos de software en ejecución en el servidor y, posteriormente, reemplazar un archivo de código fuente en el directorio de compilación con un código malicioso. variante para inyectar Sunburst mientras se construye Orion.

"La versión posterior de octubre de 2019 del lanzamiento de la plataforma Orion parece haber contenido modificaciones diseñadas para probar la capacidad de los perpetradores para insertar código en nuestras compilaciones", dijo Ramakrishna, haciéndose eco de informes anteriores de ReversingLabs.

El desarrollo se produce cuando los investigadores de Kaspersky encontraron lo que parece ser una primera conexión potencial entre Sunburst y Kazuar, una familia de malware vinculada al equipo de ciberespionaje patrocinado por el estado ruso Turla.

La firma de ciberseguridad, sin embargo, se abstuvo de sacar demasiadas inferencias de las similitudes, sugiriendo en cambio que las superposiciones pueden haber sido agregadas intencionalmente para una atribución engañosa.

Si bien las similitudes están lejos de ser una prueba irrefutable que vincule el truco con Rusia, los funcionarios del gobierno de Estados Unidos la semana pasada atribuyeron formalmente la operación Solorigate a un adversario "probablemente de origen ruso".

Fuente: THN

13 ene. 2021

Vulnerabilidad crítica en Windows Defender (Actualiza!)

El primer boletín de seguridad para 2021 de Microsoft incluye correcciones para un error bajo ataque activo, posiblemente vinculado a los ataques masivos de SolarWinds. En esta actualización Microsoft abordó 10 errores críticos, uno con un exploit activo y otro conocido públicamente y, en total, se solucionan 83 vulnerabilidades.

El error más grave es una falla en el software anti-malware Defender de Microsoft que permite a atacantes remotos infectar sistemas específicos con código ejecutable. Los expertos en seguridad advierten que los usuarios de Windows que no se hayan conectado a Internet recientemente y hayan recibido una actualización automática, deberían aplicar un parche ahora.

"Es posible que este error en el motor de protección contra malware de Microsoft ya esté parcheado en su sistema, ya que el motor se actualiza automáticamente según sea necesario. Sin embargo, si sus sistemas no están conectados a Internet, deberá aplicar el parche manualmente", escribió Dustin Childs, gerente de seguridad de Zero Day Initiative (ZDI) de Trend Micro.

Los investigadores creen que la vulnerabilidad, rastreada como CVE-2021-1647, ha sido explotada durante los últimos tres meses y fue aprovechada por delincuentes informáticos como parte del ataque masivo a SolarWinds. Las versiones afectadas de Microsoft Malware Protection Engine van desde 1.1.17600.5 a 1.1.17700.4 que se ejecutan en Windows 10, Windows 7 y 2004 Windows Server, según el boletín de seguridad.

Microsoft parcheó una segunda vulnerabilidad, que los investigadores creen que también estaba siendo explotada activamente, rastreada como CVE-2021-1648. La falla se clasifica como un error de elevación de privilegios e impacta el proceso del controlador de impresión de Windows SPLWOW64.exe. El error fue descubierto por primera vez por Google y corregido. Pero ZDI cree que el parche fue insuficiente y abrió la puerta a más ataques. Childs dijo que ZDI redescubrió la falla por segunda vez, que Microsoft reparó nuevamente el martes.

Otros errores corregidos

Ocho errores adicionales calificados como críticos también fueron parte de las correcciones de vulnerabilidad del martes de Microsoft. Estos incluyeron un error de ejecución de código remoto en el navegador web Edge de Microsoft. La vulnerabilidad (CVE-2021-1705) está relacionada con la memoria y está ligada a la forma en que el navegador accede incorrectamente a los objetos en la memoria.

"La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener los mismos privilegios que el usuario actual", escribió Justin Knapp, gerente senior de marketing de productos de Automox, en un análisis preparado. "Si el usuario actual está conectado con derechos de administrador, un atacante podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con derechos de usuario completos. Un atacante podría alojar un sitio web especialmente diseñado para aprovechar la vulnerabilidad a través de Microsoft Edge y luego convencer a un usuario de que visite el sitio web".

Se vincularon errores críticos adicionales a la interfaz de dispositivo de gráficos de Windows (CVE-2021-1665), las extensiones de video HEVC (CVE-2020-1643) y el decodificador de video Microsoft DTV-DVD (CVE-2020-1668).

Otras cinco vulnerabilidades (CVE-2021-1658, CVE-2021-1660, CVE-2021-1666, CVE-2021-1667 y CVE-2021-1673) fueron errores de llamada de procedimiento remoto. Como sugiere el nombre, la vulnerabilidad existe en el proceso de autenticación de llamada a procedimiento remoto de Windows (RPC). Si se explota, un atacante podría obtener la elevación de privilegios, ejecutar una aplicación especialmente diseñada y tomar el control total del sistema objetivo.

"Con la violación de SolarWinds aún reciente de diciembre y el alcance del impacto creciendo día a día, existe una urgencia reafirmada para que las organizaciones implementen las mejores prácticas incluso para los hábitos de seguridad más básicos", escribió Knapp. "Ya sea parcheando vulnerabilidades de día cero dentro de una ventana de 24 horas o implementando protocolos de contraseñas fuertes, la necesidad de diligencia de seguridad nunca ha sido más evidente".

Fuente: ThreatPost

Código fuente de Nissan filtrado a través de un servidor Git mal configurado

El código fuente de Nissan North The Us se filtró en línea debido a una configuración incorrecta de un servidor Git de la empresa, que quedó expuesto en línea con un nombre de usuario y contraseña predeterminados de admin / admin.

La información filtrada incluye el código fuente de las aplicaciones móviles de Nissan, la herramienta de diagnóstico y las herramientas y datos de investigación de mercado, entre otros activos.

La ingeniera de software Tillie Kottmann se enteró de la fuga y analizó los datos. Según los informes, el repositorio contenía aplicaciones móviles de Nissan NA, partes de la herramienta de diagnóstico Nissan ASIST, la biblioteca móvil central interna de Nissan, los sistemas de negocios y el portal del concesionario, herramientas de adquisición y retención de clientes, herramientas y datos de investigación de mercado, portal de logística de vehículos, servicios conectados a vehículos y varios otros backends y herramientas internas, informa. 

Los investigadores suizos recibieron un dato sobre el servidor Git de Nissan después de que encontraron un servidor GitLab igualmente mal configurado en mayo de 2020 que filtró el código fuente de varias aplicaciones y herramientas de Mercedes Benz.

El servidor Git se desconectó ayer después de que sus datos comenzaran a compartirse en Telegram y foros de piratería, continúa el informe. Nissan ha confirmado el incidente, afirmando que está "al tanto de un reclamo relacionado con una divulgación indebida de la información confidencial y el código fuente de Nissan". Según los informes, la empresa ha iniciado una investigación.

Fuente: InstintoSeguro

6 ene. 2021

WhatsApp borrará tu cuenta si...

La conocida aplicación de mensajería y propiedad de Facebook, WhatsApp, está alertando a los usuarios en India (por ahora) de una actualización en sus términos de servicio y su política de privacidad que se espera que haga efecto a partir del próximos 8 de febrero. WhatsApp borrará tu cuenta si no permites que la aplicación comparta tus datos con Facebook.

Las actualizaciones clave sobre estos afectan a como procesa los datos de los usuarios, como los negocios pueden usar los servicios en la nube de Facebook para guardar y administrar sus chats de WhatsApp y como se asocian con Facebook para ofrecer su integración a través de los productos de Facebook.

Los usuarios que no acepten los nuevos términos antes de la fecha limite se encontrarán con que no pueden acceder a su cuenta de WhatsApp, según la notificación mostrada por la empresa.

La información que se recoge del dispositivo en los nuevos términos, es la siguiente:

  • Modelo del terminal que se está usando
  • Versión del sistema operativo
  • Nivel de batería del dispositivo
  • Intensidad de señal móvil
  • Versión de la aplicación
  • Información sobre los navegadores instalados en el dispositivo
  • Red móvil a la que está conectado el terminal
  • Información de la conexión a la red móvil (Número de teléfono e ISP)
  • Idioma y zona horaria
  • Dirección IP del dispositivo

Además, incluye la información de las características que uses, como las veces que has realizado llamadas, tus estados, los grupos (Incluyendo el nombre, la foto y la descripción del mismo), pagos o usos de las características para empresas; Foto de perfil, la información puesta en "Sobre nosotros", cuando has estado online y cuando ha sido la ultima vez que has usado sus servicios ("Ultima vez visto")..

No se puede negar que las políticas de privacidad y los acuerdos de términos de servicio a menudo son largos, aburridos y con demasiados términos legales, como si estuvieran diseñados deliberadamente con la intención de confundir a los usuarios. Pero actualizaciones como esta son la razón por la que es esencial leerlas en lugar de dar su consentimiento a ciegas sin saber realmente a qué se está inscribiendo. Después de todo, son TUS datos.

Fuente: THN

Malware usa WiFi BSSID para posicionar a las víctimas

Los operadores de malware (como Loki, Emotet, Tesla, etc.) que desean conocer la ubicación de las víctimas que infectan generalmente confían en una técnica simple en la que toman la dirección IP de la víctima y la comparan con una base de datos de geoposicionamiento IP como GeoIP de MaxMind para obtener la ubicación geográfica aproximada de la víctima.

Si bien la técnica no es muy precisa, sigue siendo el método más confiable para determinar la ubicación física real de un usuario en función de los datos que se encuentran en su computadora.

Sin embargo, en una publicación de blog el mes pasado, Xavier Mertens, un investigador de seguridad del SANS Internet Storm Center, dijo que descubrió una nueva variante de malware que utiliza una segunda técnica, que se basa en obtener el BSSID del usuario infectado.

Conocido como "Basic Service Set Identifier", el BSSID es básicamente la dirección física MAC del router inalámbrico o punto de acceso que el usuario está utilizando para conectarse a través de WiFi.

Puede ver el BSSID en los sistemas Windows ejecutando el comando:

netsh wlan show interfaces | findstr "BSSID"

Mertens dijo que el malware que descubrió recopilaba el BSSID y luego lo verificaba con una base de datos gratuita de BSSID a geoposicionamiento mantenida por Alexander Mylnikov. Esta base de datos es una colección de BSSID conocidos y la última ubicación geográfica en la que fueron detectados.

Estos tipos de bases de datos son bastante comunes en estos días y los operadores de aplicaciones móviles los utilizan generalmente como formas alternativas de rastrear a los usuarios cuando no pueden acceder directamente a los datos de ubicación de un teléfono. Por ejemplo, se puede consultar WiGLE, uno de los servicios más populares utilizados para estos tipos de conversiones de BSSID a geo.

Verificar el BSSID con la base de datos de Mylnikov permitiría al malware determinar de manera efectiva la ubicación geográfica física del punto de acceso WiFi que la víctima estaba usando para acceder a Internet, que es una forma mucho más precisa de descubrir la posición geográfica de la víctima.

El uso de ambos métodos juntos permite a los operadores de malware confirmar que la consulta inicial de geolocalización basada en IP es correcta con el segundo método BSSID.

Los operadores de malware generalmente buscan la ubicación de una víctima porque algunos grupos quieren convertirlas en víctimas solo dentro de países específicos (como operaciones patrocinadas por el estado) o no quieren infectar a las víctimas en su país de origen (para evitar llamar la atención de los usuarios locales) y evitar un posible enjuiciamiento.

Sin embargo, las bases de datos de IP a geo son conocidas por sus resultados tremendamente inexactos, ya que las empresas de telecomunicaciones y los centros de datos tienden a adquirir o alquilar bloques de direcciones IP en el mercado libre. Esto da como resultado que algunos bloques de IP se asignen a diferentes organizaciones en otras regiones del mundo desde su propietario inicial o real.

El uso de un segundo método para verificar la ubicación geográfica de una víctima no se adopta ampliamente en la actualidad, pero la técnica tiene beneficios claros que otras operaciones de malware seguramente apreciarán y decidirán usar también en el futuro.

Fuente: ZDNet

5 ene. 2021

Publican 10.000 tarjetas de American Express gratis en un foro

Un delincuentes ha publicado de forma gratuita datos de 10.000 titulares de tarjetas de crédito American Express en un foro de hacking. En la misma publicación del foro, el actor afirma vender aún más datos de clientes bancarios mexicanos de American Express, Santander y Banamex. El hallazgo fue sacado a la luz por el analista de inteligencia de amenazas, Bank Security.

Según lo analizado por BleepingComputer, el conjunto de datos de muestra filtrados de 10.000 registros expone los números completos de las cuentas de American Express (tarjeta de crédito) y la información de identificación personal (PII) de los clientes, incluido el nombre, la dirección completa, los números de teléfono, la fecha de nacimiento, el sexo, etc.

Sin embargo, BleepingComputer no vio fechas de vencimiento de tarjetas de crédito, contraseñas o datos financieros demasiado confidenciales en la hoja de cálculo publicada que podrían permitir el uso indebido de las tarjetas de crédito en transacciones fraudulentas.

Parece que el actor detrás de la publicación del foro tiene la intención de exponer estos datos principalmente con fines de marketing y spam. "No vendo datos privados como contraseña, información de la tarjeta, número de identificación. Con los datos que vendo o comparto, solo estás expuesto a spam o marketing", declaró el vendedor en el mismo hilo del foro.

American Express no negó ni admitió que habían sufrido una violación de datos, pero compartió que todos los titulares de tarjetas Amex no son responsables de cargos fraudulentos. "Estamos al tanto del informe y estamos siguiendo de cerca la situación. No tenemos nada más que compartir en este momento".

Los tarjetahabientes de Amex deben permanecer atentos y reportar cualquier actividad fraudulenta observada en los extractos de sus tarjetas a American Express. Además, se insta a los titulares de tarjetas a estar atentos a los correos electrónicos, mensajes de texto y llamadas telefónicas sospechosas de phishing que ahora podrían ser aún más difíciles de detectar, si los estafadores incluyen partes del número de la tarjeta de crédito y PII legítima en estas comunicaciones para ganarse la confianza del cliente.

Fuente: BleepingComputer

Seguridad en las aplicaciones de mensajería

En una investigación reciente, el equipo de CyberNews descubrió que un servicio de chat, probablemente con sede en China, había filtrado más de 130.000 imágenes, videos y grabaciones de audio extremadamente (Not Safe / Suitable for Work ) NSFW de sus usuarios. Si bien este servicio de mensajería estaba conectado a una empresa que ofrecía una "red social privada" y, por lo tanto, con una base de usuarios pequeña, CyberNews quiso ver las características de seguridad de las aplicaciones de mensajería más grandes.

Para los usuarios de estas aplicaciones de mensajería más grandes, hay buenas noticias: el 86% de las aplicaciones (11 de 13) que analizaron eran seguras de forma predeterminada. Solo dos aplicaciones, Telegram y Facebook Messenger, no tenían estas funciones seguras habilitadas de forma predeterminada. En general, estos resultados son prometedores, ya que significa que la industria de la mensajería segura va en la dirección correcta.

También descubrieron que la mayoría de las aplicaciones usa variaciones de RSA y AES para el cifrado y los hashes de claves, que son algunos de los algoritmos de cifrado más seguros disponibles en la actualidad.

En general, esto es bueno no solo para sus mensajes "nocturnos" (NSFW o no), sino también para otras actividades importantes. Esto significa que para las personas que participan en protestas en todo el mundo, ya sea Black Lives Matter en los EE.UU. O Anti-Lukashenko en Bielorrusia, pueden usar servicios de mensajería segura para coordinar actividades y brindar apoyo.

La investigación muestra que esos usuarios harían bien en utilizar las mejores aplicaciones de mensajería segura como Signal, Wire, Cyber ​​Dust y otras de nuestra lista.

Para realizar el análisis, se analizaron varios aspectos de 13 aplicaciones populares de mensajería segura:

  • Señal
  • Wickr Me
  • Mensajero
  • WhatsApp
  • Telegrama
  • Cable
  • Viber
  • Polvo cibernético
  • iMessage
  • Pryvate
  • Qtox
  • Sesión
  • Brezo

Conclusiones clave

El análisis incluyó los estándares de cifrado y transporte de las diversas aplicaciones, los principios de intercambio de claves y las primitivas criptográficas utilizadas.

  • 2 de las aplicaciones de mensajería no eran seguras de forma predeterminada, y los usuarios deberán activar esta seguridad en la configuración.
  • 4 de las aplicaciones de mensajería segura utilizan el protocolo Signal para el cifrado. El protocolo Signal se ha convertido en el estándar de la industria para proteger las comunicaciones de mensajería, voz y video
  • Solo 2 de las aplicaciones usan P2P para su mecanismo de transporte. Briar y Qtox, utilizan un mecanismo de transporte Peer-to-Peer, lo que significa que no hay un servidor en el medio entre el remitente y el receptor: los mensajes van directamente de un dispositivo a otro. Si bien Briar ofrece otros mecanismos de transferencia, Qtox solo usa su TOX P2P y, por lo tanto, no tiene una política de privacidad, no la necesita, ya que nunca toca los datos del usuario.
  • iMessage no cifra los mensajes si se envían a través de GSM. Un aspecto interesante es que iMessage de Apple, ya sea en iPhone, iPad, Apple Watch y Mac, solo usa cifrado en HTTPS. Cuando los mensajes se envían a través de GSM, un protocolo para dispositivos 2G y 3G, no están cifrados.
  • 3 tienen planes de pago que permiten que los usuarios accedan a funciones adicionales. Solo Wired requiere una suscripción. Esto se debe a que este servicio de mensajería está diseñado para uso corporativo, algo como Slack o Microsoft Teams, pero con cifrado de extremo a extremo.
  • La mayoría de las aplicaciones utilizan RSA y AES, algunos de los algoritmos de cifrado más seguros disponibles en la actualidad, para cifrado y hashes de claves.

Es suficiente decir: ninguna de estas aplicaciones ofrece seguridad absoluta, y ninguna lo hará, ya que siempre habrá una solución por una persona o un grupo con suficiente tiempo y recursos. Incluso si una aplicación fuera absolutamente segura en sí misma, no podría mitigar sus errores.

La mayoría de estos servicios de mensajería han fallado o fallarán. Y esa es simplemente la naturaleza del software: todos los programas tienen errores, algunos más graves que otros. Un ejemplo famoso es WhatsApp, que ha tenido numerosas vulnerabilidades a lo largo de los años. Esto incluye software espía israelí Pegasus que podría instalar software de vigilancia en el teléfono de un objetivo simplemente llamándolo a través de WhatsApp. iMessenger también tuvo su parte de problemas, donde los atacantes podían ver con quién había estado enviando mensajes.

Incluso Signal, probablemente la aplicación de mensajería más recomendada por los profesionales de la ciberseguridad, fue víctima de un ataque bastante complejo en el que alguien podía escuchar su entorno haciendo una especie de llamada fantasma: llamándolo a través de Signal y luego presionando silencio sin que se viera la llamada, para escuchar a escondidas sus conversaciones.

Y eso es solo uso por parte de los ciberdelincuentes para atacar a personas. Las fuerzas del orden han estado utilizando varios métodos a lo largo de los años para espiar a grupos de personas. En Hong Kong, el gobierno chino aprovechó un error de Telegram para filtrar los números de teléfono de los usuarios. Los investigadores alemanes también descubrieron que WhatsApp, Signal y Telegram estaban exponiendo los datos personales de los usuarios a través del descubrimiento de contactos.

Como lo expresa la FAQ de Telegram:

No podemos protegerte de tu propia madre si ella toma tu teléfono desbloqueado sin una contraseña. O de su departamento de TI si acceden a su computadora en el trabajo. O de cualquier otra persona que tenga acceso físico o root a sus teléfonos o computadoras que ejecutan Telegram.
Si te comportas de manera insegura, ninguna aplicación de mensajería segura te salvará.

Fuente: CyberNews