Notices tagged with seguridad, page 14

Según una investigación de El País y The Guardian, el teléfono móvil de Roger Torrent, presidente del Parlament de Cataluña, fue atacado con Pegasus, el spyware de la compañía NSO Group, con sede en Israel.

Se trata del mismo spyware con el que se una compañía de seguridad afirma que se atacó el smartphone personal de Jeff Bezos. La peculiaridad de Pegasus es que según NSO, solamente puede utilizarse por parte de Gobiernos para combatir el crimen y el terrorismo, algo en lo ni Roger Torrent o Bezos están implicados.

A la hora de utilizar herramientas y sistemas pueden tener múltiples vulnerabilidades y fallos que afecten a nuestra seguridad y privacidad. Esto es algo que ocurre en cualquier equipo, sistema operativo o programa que utilicemos. Siempre debemos instalar las actualizaciones necesarias para corregirlo. Ahora bien, en ocasiones esto no es tan rápido o no está tan disponible. En este artículo vamos a explicar por qué los parches son un problema de seguridad para el código abierto.

El Gobierno de India ha bloqueado 59 aplicaciones de procedencia china. En la lista hay nombres tan destacados como TikTok, que ya es una de las mayores redes sociales a nivel mundial, o Weibo y WeChat, otras dos de las redes sociales/plataformas de mensajería más usadas en el país chino. Tampoco se salvan navegadores como UC Browser, aplicaciones de Xiaomi como Mi Community o Mi Video Call o aplicaciones populares de mantenimiento como Clean Master.

La razón oficial detrás del bloqueo de estas aplicaciones, que el Gobierno ha incluido en una lista presente en un comunicado del Ministerio de Tecnología de la Información, es que estas 59 aplicaciones se han usado para recopilar datos de usuarios de la India, para luego enviarla a servidores en China. Allí, se extraerían para elaborar perfiles por parte de "elementos hostiles", lo que según el texto "es un asunto de profunda e inmediata preocupación que requiere medidas de emergencia".

El Ejecutivo acusa a estas aplicaciones de "estar involucradas en actividades perjudiciales para la soberanía y la integridad de India, la defensa, la seguridad del Estado y el orden público".

Las vulnerabilidades en nuestros dispositivos nos exponen a todo tipo de ataques. Ya sea mediante estas vulnerabilidades o con malware, el objetivo final suele ser normalmente la obtención de información sobre la víctima. Ahora, un periodista ha sufrido uno de los ataques más sofisticados, y todavía no saben exactamente cómo ha ocurrido.

Hablamos del periodista marroquí Omar Radi, cuyo iPhone blanco, que usaba para contactar con sus fuentes, estaba siendo utilizado por el gobierno de Marruecos para espiarle sus correos, llamadas, mensajes, webs visitadas, videollamadas, calendario, coordenadas GPS, e incluso apagar y encender la cámara y el micrófono cuando quisieran. Y todo esto a pesar de que Radi es bastante entendido en temas de ciberseguridad, evitando hacer clicks en enlaces sospechosos, así como también constató que no tenía llamadas perdidas de WhatsApp.

Google Chrome y Mozilla Firefox suman entre ambos una amplia mayoría del mercado de navegadores. Por eso sorprende descubrir que ambos vienen arrastrando una relevante vulnerabilidad para la privacidad de sus usuarios: enviaban sin su conocimiento los términos de las búsquedas web a uno de los servidores DNS de su operadora.

Como lo lees: ahora mismo, las instalaciones de ambos navegadores a lo largo y ancho del mundo, están enviando a tu proveedor de la palabra que introduces en la barra de direcciones, por 'sensible' que ésta pueda resultar.

Y eso seguirá ocurriendo aunque recurramos a la navegación privada, a un buscador respetuoso con la privacidad o a tecnología como 'DNS mediante HTTPS'.

Un grupo de investigadores israelíes ha hecho realidad una de nuestras peores pesadillas: ha conseguido escuchar conversaciones privadas a través de las vibraciones en simples bombillas colgadas en una habitación, con un ataque de espionaje que han bautizado como “Lamphone” que deja atrás el uso de micrófonos en una habitación o pinchar teléfonos.

Para llevar a cabo el ataque, los investigadores utilizan un sensor electro-óptico para analizar la respuesta al sonido de la frecuencia de la bombilla a través de fluctuaciones en la presión del aire que genera las vibraciones. Para ello, sólo necesitan un telescopio, el sensor electro-óptico (que vale unos 400 dólares), un DAC y un portátil. En total, todo cuesta menos de 1.000 euros.

Un análisis de TheBestVPN basado en información de la base de datos nacional de vulnerabilidades estadounidense muestra cuáles son los sistemas operativos, navegadores y tecnologías que más vulnerabilidades han presentando en las dos últimas décadas, entre 1999 y 2019.

Los datos resultan muy interesantes, pero antes de profundizar en ellos, es justo mencionar que hay sistemas operativos y navegadores que aglutinan todas las vulnerabilidades bajo un nombre global, como veremos con Debian, macOS, Ubuntu, Google Chrome o Firefox, mientras que otros como Windows 10 o Windows 7 presentan datos desagregados, lo que hace que la mayor o menor gravedad de sus cifras no se entienda de igual manera.

Desconocemos por qué no se han sumado las cifras de todas las versiones desde Windows 98, pero el informe es igualmente muy interesante para observar cómo han afectado las vulnerabilidades a las empresas y productos de software más utilizados en los últimos 20 años.

En las fases iniciales de los procesos de pentesting es fundamental obtener la mayor información posible de la empresa que se esta analizando, para esto existen múltiples herramientas y metodologías. SearchOrg es una herramienta que busca integrar algunas técnicas pasivas y otras activas para obtener información de una empresa usando su dominio de correo electrónico.

Un grupo de académicos de varias universidades estadounidenses y especialidades, han publicado un nuevo método de ataque que utiliza ondas ultrasónicas para controlar en secreto los asistentes de voz.

Bautizado como «SurfingAttack«, el ataque aprovecha las propiedades únicas de la transmisión acústica en materiales sólidos para «permitir múltiples rondas de interacciones entre el dispositivo controlado por voz y un atacante, a una distancia más larga y sin la necesidad de tener a la vista el dispositivo».

De esta manera, un atacante podría interactuar con los dispositivos utilizando los asistentes de voz para secuestrar los códigos de autenticación de dos factores SMS e incluso realizar llamadas fraudulentas, señalaron los investigadores en el documento, controlando así el dispositivo de la víctima sin que ésta tuviera conocimiento de ello.

Finalmente, tras casi dos años desde su lanzamiento inicial, las llaves de seguridad Titan de Google han aterrizado en España. De uso obligatorio para todos sus empleados, estas llaves USB hechas por el gigante de las búsquedas sirven como factor de autenticación adicional para proteger nuestras cuentas en línea.

Si quieres hacerte con una puedes ir desde ya a la tienda oficial de Google y desembolsar entre 45 y 55 euros, dependiendo de la versión que elijas, pues hay un pack con una llave Bluetooth/NFC/USB y otra USB-A/NFC, y además está la Titan USB-C que estará disponible próximamente.

Por diseño, los teléfonos y altavoces inteligentes tienen micrófonos que siempre están encendidos y escuchan las llamadas palabras de activación como "Alexa", "Hey, Siri" u "OK, Google". Solo después de escuchar esa señal se supone que deben comenzar a grabar. Pero sólo "se supone"... y no nos referimos sólo a que se pueda espiar de forma intencionada: varios estudios ya han demostrado que los dispositivos se activan docenas de veces diariamente y comienzan a grabar después de escuchar frases similares a sus palabras de activación, sobretodo a través de la TV, la radio u otras conversaciones.

Heather Zheng y Ben Zhao, profesores de informática en la Universidad de Chicago, junto con el profesor asistente Pedro Lopes han diseñado un "brazalete de silencio" o jammer que bloquea Amazon Echo o cualquier otro micrófono cercano que pueda escuchar las conversaciones del usuario.

El próximo kernel de Linux, es decir, la versión 5.6, se está perfilando como uno de los lanzamientos más interesantes en un buen tiempo. Una de las razones de esto es que hace poco más de una semana WireGuard pasó a formar oficialmente parte de él.

WireGuard es un VPN moderno que se ha labrado una excelente reputación en el mundo del open source por ofrecer una alternativa bastante superior al viejo OpenVPN. WireGuard fue inicialmente creado justamente para Linux, y siempre ha estado disponible como un modulo del kernel, pero a partir de ahora no habrá necesidad de modificar el kernel de forma manual para añadir WireGuard porque su código ya estará incorporado en él.

Los datos de toda índole son activos cada vez más valiosos. La necesidad de hacer lo posible para que se mantengan encriptados de principio a fin cobra cada vez más fuerza. Es por eso que quienes se encargan de innovar en el mundo de la tecnología, no paran de trabajar con el objetivo de satisfacer estas necesidades. En este caso, la Ben Gurion University tiene el firme propósito de dar el siguiente paso para una encriptación de datos end-to-end verdaderamente segura y sin riesgo de ser interceptada por cibercriminales.

En este 2020, ya no existen excusas para empezar a aprender sobre temas que nos gustan. Esta nota te propone diversos cursos orientados a principiantes sobre varias aristas de la ciberseguridad y la seguridad de la información. Estamos seguros que la calidad de la formación recibida es alta, y varios de estos cursos están respaldados por importantes instituciones educativas.

Google ha publicado como Open Source un proyecto con la intención de ayudar a los vendedores de hardware a crear sus propias “llaves de seguridad” y contribuir al impulso de la mencionada tecnología.

El proyecto, que es una iniciativa llamada OpenSK, se compone de un firmware construido con Rust que permite convertir chips de Nordic en dispositivos que cumplen con los estándares de claves de seguridad FIDO U2F y FIDO2 (Fast Identity Online). Pero no solo el chip y el firmware cubre OpenSK, sino que también se ha publicado una carcasa protectora que se puede imprimir en 3D, por lo que los dispositivos resultantes se ven y pueden ser usados como llaves estándares.

Según una investigación publicada por The Guardian, Jeff Bezos, el multimillonario CEO de Amazon, habría sido víctima de un hackeo en 2018, y se sospecha que el responsable fue un inocente mensaje que recibió a través de WhatsApp supuestamente enviado por el príncipe de Arabia Saudita, Mohammed bin Salman.

Sin embargo, según lo que indica un copia obtenida por Vice del informe oficial de la firma de seguridad FTI Consulting, quienes se encargaron de realizar una investigación ordenada por el mismo Bezos, la evidencia hasta ahora es circunstancial y no hay certeza de mucho.