miércoles, 31 de agosto de 2016

Identificando personas mediante señales WIFI

A día de hoy, la identificación (y con ella, la verificación de identidad) en entornos digitales representa el Santo Grial de la industria.

Resulta relativamente sencillo gestionar la identidad de los usuarios a nivel local (el propio sistema o servicio), pero complejo afrontar una estructura mediante la cual seamos capaces de identificar usuarios en entornos descentralizados, de tal manera que podamos optimizar la experiencia de usuario o gestionar el control de permisos que éstos pueden llegar a precisar.

Para colmo, el internet de las cosas adelanta un escenario en el que esa identificación digital debe de alguna forma corresponderse con la identificación física, o como mínimo, no depender de variables no estandarizadas.


lunes, 29 de agosto de 2016

Ciber-secretos... a voces

Hoy, hace un año...

Dícese de aquello que debería ser secreto... y es algo que ha terminado siendo sabido por todo el mundo, aunque el titular del mismo siga pensando que su secreto está a buen resguardo. Eso es un "secreto a voces" y los tenemos muchas veces en el terreno de la ciberseguridad. En nuestro repaso de agosto a los titulares de hace un año nos encontramos con que el final de agosto de 2015 fue una fecha proclive a estas verdades conocidas, prácticamente, por todo el mundo.

Uno de estos casos es el anuncio de la todopoderosa Google de que su navegador Chrome dejaría de ofrecer contenido en Flash, una tecnología a la que ya de aquellas se la tenían jurada unos y otros, aunque Adobe pareciera vivir como si nunca les fuera a afectar. Se acabó, vinieron a decir desde Mountain View. Si tus anuncios no están en manos de una gran plataforma o en HTML5, nunca más se volverán a ver. Y todos sabíamos que antes o después se asestaría este golpe mortal a los de Adobe, lo único que faltaba por concretar era cuándo.


viernes, 26 de agosto de 2016

Las nuevas tecnologías de la industria del cibercrimen

Continuamente se producen nuevos avances en materia de tecnología, y la industria del cibercrimen, como buena early adopter, está ávida por aplicarlos a su negocio.

El porqué es sencillo de comprender, habida cuenta de que este sector depende precisamente de llevar la delantera al resto de industrias, aprovechándose de la sorpresa y el desconocimiento en la respuesta ante nuevas técnicas y tecnologías ya en circulación.

Repasamos por tanto algunas de las noticias de esta última semana relacionadas con el uso de nuevas tecnologías en infosec.

Como la aplicación de algoritmos de inteligencia artificial a la hora de crear campañas de phishing, y que en esencia aumentan la probabilidad de éxito hasta acercarla a los porcentajes que maneja el phishing manual y dirigido.

O la preparación de malware desarrollado para operar bajo máquinas virtuales que el propio software habilita en el dispositivo infectado. Una técnica que permite a estas piezas de código pasar buena parte de los controles de seguridad activos en el sistema.

Innovaciones que no solo competen a la propia tecnología, sino también a las herramientas de control que utilizan. Twitoor es el primer troyano conocido que hace uso de la API de Twitter para controlar los dispositivos Android infectados.

Por supuesto, los buenos siempre están escuchando, y de vez en cuando sorprenden con contramedidas que ponen en jaque a los cibercriminales.

Lo veíamos precisamente con ese prototipo de chips capaces de auto-validarse, alertando cuando el hardware ha sido interferido (bien sea en su propia fabricación, bien sea mediante un ataque posterior) y no está operando como lo haría un hardware legítimo.

Algo que vamos a necesitar más temprano que tarde, viendo cómo la industria de implantes corporales está ya en nuestros días siendo objetivo de intereses criminales.

Porque robar una cuenta en redes sociales, o extorsionar a una empresa, puede ser un negocio muy lucrativo. Pero cuando está en juego la funcionalidad de una bomba de insulina o de un marcapasos, la cosa se vuelve aún más interesante.

Las nuevas tecnologías al servicio de la industria del cibercrimen. Al servicio, de hecho, de todos aquellos que estén interesados en salir de su zona de confort. Sea para bien o para mal.

miércoles, 24 de agosto de 2016

Medidas de seguridad y confianza a nivel de hardware

La industria de la fabricación y montaje de circuitos integrados ha crecido tanto que el número de intermediarios está ya lejos del necesario control que estos chips precisarían para asegurar su confianza en los productos finales donde irán instalados.

Esto es conocido también por la industria del cibercrimen, que no ha dudado dejar su estampa en esa cadena, pervirtiendo alguno de sus engranajes para que éstos incluyan puertas traseras o fallos de diseño que permitan a los cibercriminales exponer la seguridad de los dispositivos finales.

Bajo este panorama, la propuesta de Siddharth Garg, un profesor asistente de electrónica e ingeniería computacional de la Escuela de Ingenieros de NYU Tandom, es cuanto menos interesante. Siddharth aboga por la implantación de un módulo embebido en el propio chip que certifica la exactitud de los cálculos realizados por este, y un módulo externo que valida los resultados del otro módulo.


lunes, 22 de agosto de 2016

No te relajes: es ciber-agosto

Hoy, hace un año...

Tendemos a pensar que en agosto no pasa nada, por ser el mes vacacional por excelencia en buena parte del hemisferio norte. Y sin embargo la historia es prolija en acontecimientos: desde las funestas bombas atómicas sobre Hiroshima y Nagasaki hasta múltiples episodios de independencia colonial en América Latina. Tal día como hoy, 22, nació la Cadillac Motor Company, la BBC puso en marcha sus primeros experimentos televisivos, o comenzó la Guerra Civil inglesa (1642). No, agosto no es precisamente un mes tranquilo.



Y agosto será recordado durante mucho tiempo por los ejecutivos de una compañía a la que sacaron los colores varias filtraciones que llegaron a alcanzar los 60 Gb. de información. Hablamos de Ashley Madison, la web de citas para personas casadas, víctima de una operación realizada por el grupo Impact Team. Si bastante carga de "moralina" tenía este leak, lo que terminó de poner contra las cuerdas a los responsables de Avid Life Media, la empresa propietaria de la web, fue conocer que uno de sus ejecutivos había robado información de una firma competidora, que había aspirado en su momento a ser comprada por la propia Avid. El ladrón de datos había sido robado.


viernes, 19 de agosto de 2016

El marketing de los ciberataques

La seguridad informática se ha vuelto uno de los pilares económicos que sustentan cada vez más el conjunto de industrias.

No es para menos. En juego está el negocio de prácticamente todos los sectores. Lo que además incentiva que aún se de mayor cobertura mediática de la que a veces debería tener.

Ha pasado históricamente con los sucesos en prensa y televisión, y desde hace unos años, ocurre por igual con las ciberamenazas.

Hace años un exploit ponía en jaque tal tecnología, y prácticamente solo se enteraban aquellos interesados en el asunto. Ahora ese exploit, si cuenta con el suficiente marketing, vendrá definido por una marca que poco tiene que ver con la poco amigable nomeclatura oficial, y que sirve a los periodistas para darle mayor tracción en sus medios.


miércoles, 17 de agosto de 2016

Bitcoins invisibles para el ransomware como servicio

La industria del ransomware se ha posicionado como una de las más rentables para el cibercrimen, extorsionando a las víctimas con el pago del rescate de sus archivos, y amparándose en "la buena fe" entre ladrones.

Estos días Check Point Software Technologies ha publicado un informe en el que analiza el impacto económico y operativo de uno de los mayores ransomware-as-a-service (RaaS) en circulación, que utiliza una nueva variante del conocido ransomware Cerber, y que estaría arrojando a día de hoy alrededor de 2,5 millones de dólares de beneficios a sus creadores.

Con 161 campañas activas y en torno a 8 nuevas campañas lanzadas cada día, solo en el mes de Julio se estima que los criminales habrían obtenido unos 200.000 dólares que las víctimas han depositado en un entramado de cuentas bitcoin a razón de 1 bitcoin (unos 590 dólares) por ataque.


lunes, 15 de agosto de 2016

Hoy hace un año: quesos con agujeros

En el mundillo de la ciberseguridad, muchas veces tenemos la tentación de pensar que tiene más agujeros que un queso Gruyere. Y si echamos la vista atrás, en ocasiones nos damos cuenta de que así es. O de que así ha sido. En este especial veraniego en el que cada lunes miramos con retrospectiva qué pasaba hace un año, los días de mediados de agosto de 2015 fueron especialmente proclives en proporcionar noticias con sabor a queso suizo. Ojo, ¡que fue hace solo un año!

El ganador al queso con el agujero mejor escondido habría que dárselo a Lenovo. Un investigador descubrió una vulnerabilidad grave a nivel BIOS que había estado circulando en decenas de modelos de PCs orientados a consumidor final, algunos de gran éxito comercial. La noticia obligó a Lenovo a publicar una nota explicativa sobre el origen y alcance de ese error, y a liberar de forma inmediata los parches para poder solucionarlo.


viernes, 12 de agosto de 2016

Los (t)errores del pasado


El legado cultural del los 80 y los 90 (o al menos, de esa pequeña porción de la sociedad americana residente en barrios marginales que en su día definió buena parte de este concepto) vuelve a estar de moda. Quizás amparado en que las generaciones que nacieron y vivieron parte de esa fábula ahora están, de una u otra manera, a las riendas del mercado. O simplemente incentivado por el continuo ciclo cultural, más inflado en nuestros días por la democratización y globalización de las nuevas tecnologías.

Por ello, no debería sorprendernos que los viejos fallos informáticos vuelvan a hacer acto de presencia. Errores de esos que creías superados, y cuyo puesto de honor, en lo más alto del cajón de campeones, hay que adjudicar por méritos propios o ajenos (qué más da) a Avast, el popular antivirus gratuito, que en algunas versiones de Windows le ha dado por mostrar el "pantallazo de la muerte" que creíamos ya extinto para siempre.


miércoles, 10 de agosto de 2016

¿Qué vulnerabilidades se pueden comprar hoy en la Dark Web?

La evolución de 0-days sigue patrones generalmente aleatorios, en tanto en cuanto depende de diversos factores. Además, el detectar estos exploits en una fase temprana puede ayudar a las organizaciones a minimizar el impacto de los mismos.

Por ello nos hacemos eco este miércoles de la investigación llevada a cabo por varios investigadores de la Arizona State University titulada "Darknet and Deepnet Mining for Proactive Cybersecurity Threat Intelligence" (EN/PDF), en la que durante cuatro semanas han estado scrapeando 27 de los principales markets de la Dark Web, con el fin de encontrar relaciones entre estos markets y la proliferación de 0-days en futuros ataques informáticos.

Y durante este tiempo han hallado 21 discusiones relacionadas con esta tipología de ataques y hasta 16 zero-days puestos en venta al mejor postor. Uno de ellos, de hecho, que hacía uso de una vulnerabilidad ya conocida en WebView (uno de los componentes que permite a una aplicación en Android mostrar contenido de una web empaquetada dentro de la propia app), que afectaría a todos los Android con versiones 4.3 y anteriores, y que en 2015 representaba el 60% de todos los dispositivos Android en circulación.

Los precios de hacerse con este exploit variarán a lo largo de los días, pero la puja inicial empezaba en 40 Bitcoin, lo que es al cambio cerca de 24.000 dólares.

Como decíamos, este tipo de estudios son verdaderamente interesantes para entender los flujos de difusión de 0-days desde su descubrimiento, generalmente por parte de algún elemento de la cadena del cibercrimen, pasando por la venta del mismo, hasta su explotación en el mercado.

Si las compañías son capaces de instaurar un seguimiento automatizado y persistente en este tipo de foros, podrían en la medida de lo posible adelantarse a los criminales, parcheando, actualizando o reemplazando parte de los sistemas vulnerables incluso antes de que éstos sufrieran el ataque.

Hablamos por tanto de jugar un papel muchísimo más proactivo en la lucha contra el cibercrimen, atacando al que sería una de sus mayores debilidades: la exposición necesaria para vender el 0-day. Exposición que ocurre, por su propia idiosincrasia, en fases preliminares, cuando aún no ha sido explotado, sirviendo así de una suerte de defensa estratégica frente a ataques futuros.


Además de este estudio sobre la venta exploits en marketplaces de la dark web, en los últimos siete días es reseñable el presunto hackeo de Oracle's MICROS, el sistema de pago de la mayoría de TPVs del mercado, así como la evolución de Quadrooter, una vulnerabilidad de Android que pone en riesgo a 900 millones de dispositivos.

lunes, 8 de agosto de 2016

No te la jueges: mejor una vez

Existe una expresión en español, con alguna que otra variante, sobre la importancia de afrontar decisiones complicadas antes de que se compliquen más: mejor una vez colorado que ciento amarillo. Es curioso, pero hace hoy un año se nos acumularon en el terreno de la ciberseguridad no una, ni dos, ni tres noticias, que daban fe de que también en este mundillo esta expresión es acertada. 

Y si de ponerse amarillo hablamos, qué mejor que hablar de... China. En estas fechas de 2015 supimos que los ciberespías chinos habían estado entrando y saliendo en las cuentas de correos de altos mandos de la Administración Obama desde al menos el año 2010. Al menos, y si nos fiamos de la versión que entonces se dio, las cuentas accedidas habían sido las privadas, ya que las de trabajo eran "más seguras". Puede, pero los chinos llevaban cinco años poniendo amarillos a los oficiales de EEUU.


viernes, 5 de agosto de 2016

Los trileros se adueñan de las noticias

Trile, mosqueta o Pepito paga doble. Da lo mismo. Es el mismo juego, basado en la premisa del engaño, para estafar dinero a la concurrencia. Y es en eso, en puro trile, en lo que se ha convertido la actualidad de la ciberseguridad esta semana. Siempre es así de una u otra forma, pero estos últimos días de forma evidente: la bolita nunca está donde uno creía que estaba, sino debajo de otro cubilete (o cáscara, según la imagen que nos acompaña). El estafador se lleva lo que es tuyo, y no pidas reclamación: ya sabías que podía ser una trampa.

Como los mensajes de Whatsapp que creías borrados. Pues no. Ahí están, a la espera de alguien con la suficiente sagacidad como para encontrar el agujero por el que traerlos de vuelta a la vida. Claro, es el precio a pagar por haber estado décadas conformándonos con que el borrado de los archivos nunca fuera terminante salvo un formateo letal. Pues ahora pagamos las consecuencias. Cubilete erróneo.


miércoles, 3 de agosto de 2016

Vendiendo tarjetas en el mercado negro

Los términos Dark Web y Deep Web se utilizan habitualmente de manera semejante, mientras que el primero define a todas esas páginas únicamente disponibles mediante tecnologías específicas de Dark Web (como por ejemplo TOR), y en el segundo entrarían también portales que están alojados en la web pública, pero que por una u otra razón (bloqueo de contenido por parte de los administradores, webs cerradas bajo un sistema de login,...), los buscadores no indexan.

Son dos patas de una misma mesa, y eso mismo debieron pensar los chicos de la Universidad Estatal de Arizona a la hora de definir el impacto que tenía el mercado negro a nivel de catálogo de productos y presencia. El whitepaper, publicado bajo el nombre Product Offerings in Malicious Hacker Makers, parte de una investigación realizada durante seis meses en las 17 páginas de mercado negro más conocidas de la industria, tanto en el Dark Web como en el Deep Web.


lunes, 1 de agosto de 2016

Tal día como hoy: Windows 10, Facebook y General Motors

Nos damos un parón veraniego con las habituales entrevistas de los lunes y nos centramos en notas más frescas, siquiera para aliviar los rigores estivales, con permiso de nuestros lectores al otro lado del "charco" Atlántico, que atraviesan justamente ahora el invierno. Nos hemos preguntado: en un entorno tan cambiante como el de la ciberseguridad, ¿qué pasaba por estas fechas hace un año? Mirar al pasado nos sirve, al menos, para chequear si vamos haciendo los deberes.
Con la de años que llevamos tomando nota de la importancia de asegurar los accesos, fue hace solo un año cuando la red social por excelencia (al menos, por número de usuarios), habilitó su Security Checkup que nos permitía un mayor control en el acceso a nuestras cuentas. Hoy la mayoría vivimos tan adaptados a este sistema, que nos cuesta creer cómo podíamos permitirnos el lujo de no tenerlo antes. Una de cal y otra de arena para los de Zuck, que ya entonces eran propietarios de Whatsapp: hace hoy un año un estudiante de solo 19 años explicó con todo lujo de detalles cómo asaltar las conversaciones ajenas, y también los contactos si la víctima era un iPhone.