El nuevo exploit iOS checkm8 permite un compromiso permanente de los iPhone
Publicado: 27 de septiembre de 2019 por Thomas Reed
ACTUALIZACIÓN 9/27, 11:00 am: actualizado por la idea errónea de que el bootrom realmente se estaba modificando. Aparentemente, el «permanente» solo se refiere al hecho de que el error está en el bootrom, donde no puede ser parcheado.
ACTUALIZACIÓN 9/27, 12:15 am: Después de hablar con @ axi0m8, aclaró algunos otros puntos, incluido el hecho de que esto no se puede explotar de forma remota.
Esta mañana, un investigador de iOS con el identificador de Twitter @ axi0mX anunció el lanzamiento de un nuevo exploit de iOS llamado checkm8 que promete tener serias consecuencias para el hardware de iPhone y iPad. Según el Tweet, este exploit es un «exploit bootrom permanente que no se puede parchar», capaz de afectar dispositivos desde 4S hasta el iPhone X.
Pero, ¿qué significa exactamente esto? Primero, expliquemos qué es bootrom. Un bootrom es un chip de memoria de solo lectura que contiene el primer código que se carga cuando se inicia un sistema. Dado que el código de bootrom es el núcleo del proceso de inicio del dispositivo, y no debería ser posible cambiarlo, encontrar un error en ese código es el Santo Grial de la piratería.
Este exploit no es un jailbreak, que proporcionaría las capacidades para instalar software arbitrario, obtener permisos de root y escapar del entorno limitado. Sin embargo, bajaría la barra para romper el dispositivo de manera significativa, y es particularmente preocupante por el hecho de que se encuentra en un lugar donde no se puede reparar sin reemplazar el hardware.
Si eres un investigador de seguridad de iOS, es probable que esto sea lo más emocionante que escucharás durante todo el año, posiblemente incluso durante toda tu carrera hasta la fecha. Sin embargo, preveo mucho miedo, incertidumbre y dudas entre la mayoría de las personas que leen estas noticias. Entonces, ¿cuál es el impacto en el mundo real de este lanzamiento?
Dispositivos afectados
Los dispositivos que son vulnerables a checkm8 incluyen lo siguiente:
iPhones desde los 4 hasta el iPhone X
iPads desde la 2ª hasta la 7ª generación
iPad Mini 2 y 3
iPad Air de primera y segunda generación
iPad Pro de 10.5 pulgadas y 12.9 pulgadas de segunda generación
Apple Watch Series 1, Series 2 y Series 3
Apple TV 3ra generación y 4k
iPod Touch 5ta generación a 7ma generación
Probablemente esta no sea una lista exhaustiva, y como @axiOmX menciona, se agregarán más.
Sin embargo, la versión de iOS / iPadOS / watchOS / tvOS no debería importar en absoluto, ya que Apple no podrá parchear esto en las actualizaciones de software. Solo comprar un dispositivo nuevo y actualizado solucionaría el problema. Los chips A12 de Apple y posteriores, utilizados en dispositivos más nuevos (iPhone Xs, iPhone XR, iPhone 11 series, iPad Pro de tercera generación) no son vulnerables.
Trascendencia
Aunque checkm8 funcionará incluso en un dispositivo bloqueado, es importante comprender que checkm8 no es un exploit remoto. Para comprometer su iPhone, un atacante necesitaría tenerlo físicamente en sus manos. El dispositivo necesitaría estar conectado a una computadora y ponerse en modo DFU (Actualización del firmware del dispositivo) para poder explotarlo.
La vulnerabilidad checkm8 en sí misma no es suficiente para instalar malware persistente en un dispositivo. Sin embargo, podría estar encadenado junto con otras vulnerabilidades en iOS para obtener ese nivel de acceso.
Esta hazaña aún no se ha armado, por lo que nadie sabe. Aunque, por supuesto, ya podría estar en uso secreto por delincuentes, compañías forenses como Cellebrite y Grayshift, y compañías de vigilancia como NSO.
También es importante tener en cuenta que muchos archivos en el dispositivo estarán encriptados. Incluso si el dispositivo tiene jailbreak, eso no le da automáticamente al atacante acceso al contenido de esos archivos. Por supuesto, aún sería posible instalar malware que potencialmente podría tener acceso a los contenidos no cifrados de esos archivos en el transcurso del uso normal del dispositivo.
Finalmente, si tienes la suerte de tener el último hardware, estás a salvo de checkm8. El rey de Apple toma la torre de explotación para la victoria.
Posibles aplicaciones
Además de la amenaza obvia de la actividad criminal, en realidad hay algunos usos posibles beneficiosos de checkm8.
Para los investigadores de seguridad, esta es una gran ayuda, que debería ayudarlos a analizar cualquier versión de iOS que se ejecute en un iPhone X o anterior. Dado que la investigación de iOS realmente no se puede hacer en un dispositivo que no haya levantado las restricciones de seguridad de alguna manera, es probable que se convierta en una de las herramientas más importantes en los kits de herramientas de los investigadores. Esto puede beneficiar a los usuarios de iOS, ya que puede permitir a los investigadores localizar problemas e informarlos a Apple.
Para las fuerzas del orden y las empresas que los ayudan a desbloquear iPhones, esto es enorme. (Suponiendo, por supuesto, que compañías como Grayshift y Cellebrite ya no eran conscientes de esta vulnerabilidad). El exploit checkm8 necesitaría estar encadenado junto con otras vulnerabilidades para ser útil, pero sería atractivo como un enlace en la cadena ya que Apple no puede parcharlo.
Sin embargo, existe un debate sobre cuán beneficioso es esto para los usuarios. Por un lado, queremos que la policía haga su trabajo. Por otro lado, los abusos policiales son un problema, especialmente para las minorías desfavorecidas. Usar este exploit como palanca para la vigilancia u otros abusos de los derechos de privacidad podría dejar a los usuarios con pocas opciones para defenderse.
Por supuesto, los dispositivos Android tampoco son ajenos a estos problemas. De hecho, si busca «flash bootrom» en Internet, encontrará muchas instrucciones sobre cómo cambiar la sala de arranque para varios dispositivos Android.
Aún así, este es un problema grave. Si se usa en la naturaleza, será difícil determinar si un dispositivo se ha visto comprometido, debido a la naturaleza extremadamente cerrada de iOS. Al igual que con los hallazgos del Proyecto Cero del mes pasado, esta es otra razón por la que Apple necesita proporcionar más visibilidad sobre el estado de iOS. Incluso solo poder inspeccionar la lista de procesos en ejecución sin jailbreak sería un movimiento en la dirección correcta.
Jaque mate para iOS?
No se equivoque, este es un problema grave para la seguridad de Apple e iOS. Lo importante a tener en cuenta aquí es que, hasta ahora, checkm8 solo representa un peligro potencial . Después de que la ráfaga inicial se apaga, es posible que nunca escuchemos que se haya hecho algo malicioso con checkm8.
También es muy probable que esto sea utilizado para fines positivos, por investigadores de seguridad que quieran comprender mejor iOS y ayudar a hacerlo más seguro.
No veo checkm8 como algo que debería alejar a las personas de iOS. Personalmente, en lo que respecta a una vulnerabilidad permanente en el bootrom de mi teléfono, continuaré usando mi iPhone X hasta que tenga una razón más grande para actualizar. Tal vez esa razón sean nuevos desarrollos en la historia de checkm8; o tal vez sea la falla inevitable de la batería dentro de unos años. Sólo el tiempo dirá.
Figura 1: Comunicaciones con Emotet C2 durante 90 días.
Para comenzar su campaña de spam la semana pasada, Emotet reanudó las tácticas de phishing que adoptó a fines de la primavera de 2019, secuestrando viejos hilos de correo electrónico con líneas de asunto personalizadas y apareciendo como facturas antiguas.
Esta semana, Emotet está probando una táctica diferente, incorporando las noticias sobre el nuevo libro Registro permanente del denunciante de la NSA Edward Snowden como señuelo. Las memorias, que ya están en la lista de los más vendidos de Amazon, han sido objeto de intensos debates. Además, el gobierno de los Estados Unidos también está demandando a Snowden por violar los acuerdos de confidencialidad y publicar sin aprobación previa.
Se sabe que los delincuentes aprovechan los eventos de interés periodístico para estafas y otros fines de ingeniería social . En este caso particular, los autores de Emotet supuestamente están ofreciendo las memorias de Snowden como un archivo adjunto de Word. Recopilamos correos electrónicos de nuestro honeypot de correo no deseado en inglés, italiano, español y alemán alegando que contenían una copia del libro de Snowden en forma de Word.
Al abrir el documento, se muestra un mensaje falso de que «Word no se ha activado» a las víctimas a las que se les solicita que habiliten el contenido con una advertencia de seguridad amarilla. Una vez que lo hacen, nada parece suceder. Sin embargo, lo que los usuarios no ven es el código de macro malicioso que se ejecutará una vez que hagan clic en el botón.
Figura 3: documento falso que contiene código macro
La macro activa un comando de PowerShell que recuperará el binario de malware Emotet de un sitio comprometido de WordPress. Después de la infección, la máquina intentará comunicarse con uno de los muchos C2 de Emotet:
Figura 4: tráfico de red tras la infección
A medida que avanza cada nueva semana, los actores de amenazas detrás de Emotet siempre son puntuales con la entrega de sus mensajes de spam, gracias a su gran botnet. Y una vez que han enviado spam e infiltrado en un punto final, su trabajo está lejos de terminar. Como hemos dicho antes , Emotet es una amenaza doble o incluso triple si no se pone en cuarentena de inmediato.
Las cargas útiles de seguimiento, como TrickBot y Ryuk ransomware, son las que realmente pueden paralizar cualquier negocio que no esté preparado.
Emotet está de vuelta: la botnet vuelve a la vida con una nueva campaña de spam
Publicado: 16 de septiembre de 2019 por Threat Intelligence Team Última actualización: 18 de septiembre de 2019
Después de una pausa bastante larga que duró casi cuatro meses, Emotet regresó con una campaña activa de distribución de spam. Durante algunas semanas, hubo indicios de que la botnet estaba poniendo en marcha sus engranajes nuevamente, ya que observamos la actividad del servidor de comando y control (C2). Pero esta mañana, el troyano comenzó a bombear spam, una clara indicación de que está listo para volver a la acción.
Los correos electrónicos maliciosos comenzaron en las primeras horas del lunes por la mañana, con plantillas en alemán, polaco e italiano . Nuestro equipo de Inteligencia de amenazas comenzó a ver correos electrónicos de phishing enviados en inglés también con el asunto «Aviso de envío de pagos».
Figura 1: Nuestro honeypot de spam que recibe correos electrónicos de Emotet
Tenga en cuenta la personalización en las líneas de asunto del correo electrónico. Tomando prestada una táctica de los actores del estado nación de Corea del Norte, los creadores de Emotet están trayendo de vuelta una funcionalidad altamente sofisticada de phishing lanzada en abril de 2019, que incluye el secuestro de viejos hilos de correo electrónico y referencias al usuario por su nombre.
Figura 2: el correo electrónico de phishing disfrazado de una declaración
Las víctimas son atraídas para abrir el documento adjunto y permitir que la macro inicie el proceso de infección.
Figura 3: el documento de Word emplea ingeniería social para convencer a los usuarios de que ejecuten una macro.
Figura 4: Código de macro ofuscado responsable del lanzamiento de PowerShell
El comando PowerShell desencadenado por los intentos de macro para descargar Emotet de sitios comprometidos, que a menudo se ejecuta en el sistema de administración de contenido (CMS) de WordPress.
También hay técnicas de entrega alternativas. Por ejemplo, algunas instancias del documento malicioso se basan en un script de descarga en su lugar.
Figura 5: secuencia de comandos bloqueada al ejecutar macro
Una vez que la descarga es exitosa y Emotet está instalado en el punto final, comienza a propagarse extendiéndose lateralmente a otros puntos finales en la red y más allá. También roba credenciales de las aplicaciones instaladas y envía la lista de contactos del usuario. Sin embargo, quizás la mayor amenaza es que Emotet sirve como un vector de entrega para cargas útiles más peligrosas, como TrickBot y otras familias de ransomware .
Emotet es más notorio por el daño colateral infligido como parte de un ataque combinado. Apodado la «triple amenaza» por muchos en seguridad, Emotet se asocia con el ransomware TrickBot y Ryuk para un combo extraíble que asegura la máxima penetración a través de la red para que los datos valiosos puedan ser robados y vendidos con fines de lucro, mientras que el resto está encriptado para extorsionar organizaciones a pagar el rescate para recuperar sus archivos y sistemas.
Alternativamente, las máquinas comprometidas pueden permanecer inactivas hasta que los operadores decidan entregar el trabajo a otros grupos criminales que exigirán grandes sumas de dinero, hasta US $ 5 millones, a sus víctimas. En el pasado, hemos visto el infame ransomware Ryuk desplegado de esta manera .
Figura 6: Protección de Malwarebytes Endpoint que bloquea el ataque
Protección y remediación
Los usuarios que no son clientes de Malwarebytes o que usan el escáner gratuito querrán tomar medidas adicionales para protegerse contra Emotet o limpiar la infección, si ya han sido afectados. Las empresas y organizaciones que actualmente pueden estar luchando contra una infección de Emotet pueden comunicarse con Malwarebytes para obtener ayuda inmediata . O bien, para obtener más información general sobre cómo funciona Emotet y una lista de consejos para la reparación y consejos, descargue nuestro kit de emergencia de Emotet .
Como esta campaña no tiene ni un día, todavía no sabemos el impacto en las organizaciones y otros usuarios. Continuaremos actualizando esta publicación a medida que aprendamos más durante el día. Mientras tanto, advierta a sus compañeros de trabajo, amigos y familiares que tengan cuidado con los correos electrónicos disfrazados de facturas o cualquier otra instancia «phishy» .
Indicadores de compromiso (COI)
Líneas de asunto del correo electrónico
Asesoramiento de pago de remesas Numero Fattura 2019…
300 tonos de gris: una mirada a las aplicaciones VPN móviles gratuitas
Publicado: 10 de septiembre de 2019 por Jovi Umawing Última actualización: 16 de septiembre de 2019
Los tiempos están cambiando’. Cuando los usuarios alguna vez se sintieron libres de navegar por Internet de forma anónima, publicar sobre sus vidas más íntimas en las redes sociales y descargar aplicaciones con frivolidad, la gente está jugando cosas un poco más cerca del chaleco en estos días.
Hoy en día, los usuarios prestan más atención a la privacidad y a cómo se transmite, procesa, almacena y comparte su información personal. Casi todos los días, son bombardeados con noticias de violaciones de datos , abusos o negligencia de información personal por parte de gigantes tecnológicos, y la creciente sofisticación de las tácticas y estafas cibercriminales .
No es de extrañar que los usuarios de Internet estén buscando ciertas herramientas que les brinden mayor privacidad, y no solo seguridad, mientras navegan por la web, ya sea en casa, en la oficina o mientras viajan.
Si bien algunos podrían optar por Tor o un servidor proxy para abordar su necesidad de privacidad, muchos usuarios hoy en día adoptan redes privadas virtuales o VPN .
Dependiendo de a quién le pregunte, una VPN es cualquiera de estos: [1] un túnel que se encuentra entre su dispositivo informático e Internet, [2] lo ayuda a permanecer anónimo en línea, evitando la vigilancia gubernamental, el espionaje y la recopilación excesiva de datos de grandes empresas, [3] una herramienta que encripta su conexión y enmascara su verdadera dirección IP con una que pertenece a su proveedor de VPN, [4] un software o aplicación que le permite acceder a recursos privados (como archivos de la empresa en su intranet de trabajo) o sitios que generalmente están bloqueados en su país o región.
Sin embargo, no todas las VPN se crean de la misma manera, y esto es cierto independientemente de la plataforma que utilice. Del creciente número de aplicaciones VPN que ya existen, que actualmente se encuentra en cientos, un número notable de ellas se clasifican como inseguras, especialmente aquellas que son gratuitas.
En esta publicación, veremos más de cerca las VPN gratuitas para dispositivos móviles, una categoría que, según muchos, tiene la mayor cantidad de aplicaciones inseguras.
Pero primero, lo básico.
¿Cómo funcionan las VPN?
Rob Mardisalu de TheBestVPN ilustró un diagrama rápido de cómo funcionan las VPN, y es casi tan simple como parece.
Una simple ilustración VPN (Cortesía de TheBestVPN )
Normalmente, usar una VPN requiere la descarga e instalación de una aplicación o archivo que llamamos un cliente VPN. Instalar y ejecutar el cliente crea un túnel encriptado que conecta el dispositivo informático del usuario a la red.
La mayoría de los proveedores de VPN solicitan a los usuarios que se registren con una dirección de correo electrónico y una contraseña, que serían las credenciales de su cuenta, y ofrecen un método de autenticación, ya sea por SMS, correo electrónico o escaneo de códigos QR, para verificar que el usuario es realmente quien dice que son.
Una vez que esté completamente registrado y configurado, el usuario ahora puede navegar por Internet público de manera normal, pero con mayor seguridad y privacidad.
Digamos que el usuario realiza una búsqueda en su navegador o visita directamente el sitio web oficial de su banco. El cliente VPN encripta la consulta o los datos que ingresa el usuario. A partir de ahí, los datos cifrados van al proveedor de servicios de Internet (ISP) del usuario y luego al servidor VPN. El servidor luego se conecta a Internet público, señalando al usuario los resultados de la consulta o el sitio web bancario.
Independientemente de qué datos se envíen, el sitio web de destino siempre ve el origen de los datos como el servidor VPN y su ubicación, y no la dirección y ubicación IP del usuario. Aseado, ¿eh?
Lo que las VPN no hacen
Por muy reconfortante que sea el uso de VPN, tenga en cuenta que no pueden ser todo lo relacionado con la privacidad y la seguridad para todos los usuarios. Hay ciertas funciones que no pueden o no completarán, y esto no se limita al tipo de VPN que utiliza.
Aquí hay algunas restricciones a tener en cuenta. Las VPN no:
Ofrecer pleno anonimato. Mantenerlo en el anonimato debería ser inherente a todas las VPN disponibles en el mercado. Sin embargo, lograr el anonimato completo en línea usando VPN es casi imposible. Siempre habrá rastros de datos suyos que las VPN recopilan, incluso aquellos que no guardan registros, y por registros, nos referimos al historial de navegación, las direcciones IP, las marcas de tiempo y el ancho de banda.
Conectarte a la web oscura. Una VPN en sí misma no lo conectará a la web oscura si desea explorarla. Un navegador de cebolla , como el navegador Tor, puede hacer esto por usted. Y muchos están adoptando el uso de ambas tecnologías, con la VPN enmascarando el tráfico de Tor, por lo que su ISP no sabrá que está usando Tor, cuando navega por la web.
Ofrezca a los usuarios acceso completo a su servicio de forma gratuita. Siempre. Algunas VPN verdaderamente legítimas ofrecen sus servicios de forma gratuita durante un tiempo limitado. Y una vez que expira la fase de prueba, los usuarios deben decidir si pagarían por esta VPN o si buscarían algo más gratis.
Protegerte de la aplicación de la ley cuando te citan . Las VPN no se dejarán arrastrar a los tribunales si la policía tiene motivos para creer que está participando en actividades ilegales en línea. Cuando se convoca a los proveedores de VPN para que proporcionen evidencia de sus actividades de usuario, tienen cero razones convincentes para no cumplir.
Protegerte de ti mismo. Ninguna compañía antimalware que valga la pena recomendaría a los usuarios que visiten el sitio web que deseen, abran cada archivo adjunto de correo electrónico o hagan clic en todos los enlaces bajo el sol porque su producto de seguridad los protege. Tener cuidado en línea y evitar comportamientos riesgosos, incluso cuando se utiliza un producto de seguridad, sigue siendo una forma importante de protección contra la infección de malware o el intento de fraude. Los usuarios deben aplicar la misma vigilancia de seguridad cuando usan VPN.
¿Quién usa VPN y por qué?
Lo que comenzó como un producto exclusivo para las empresas para garantizar la seguridad de los archivos compartidos entre colegas de diferentes ubicaciones se ha convertido en una de las herramientas de acceso mundial para la privacidad personal y el anonimato.
Los usuarios promedio de Internet ahora tienen acceso a más de 300 marcas de VPN en el mercado, y pueden usarse para diversos fines.
Según los últimos hallazgos sobre el uso de VPN de la compañía de investigación de mercado GlobalWebIndex, las tres razones principales por las que los usuarios de Internet de todo el mundo usarían un servicio VPN son:
para acceder a contenido de entretenimiento restringido por ubicación
usar redes sociales y / o servicios de noticias (que también pueden tener restricciones de ubicación)
para mantener el anonimato mientras navega por la web
Eso sí, estos no son nuevos. Estas razones han obtenido puntajes altos en muchos estudios de uso de VPN publicados anteriormente.
¿Qué te motiva a usar una VPN? Aquí están las principales razones. (Cortesía de GlobalWebIndex )
Los usuarios de los mercados emergentes son los principales usuarios de VPN en todo el mundo, particularmente Indonesia con un 55 por ciento, India con un 43 por ciento, Emiratos Árabes Unidos con un 38 por ciento, Tailandia con un 38 por ciento, Malasia con un 38 por ciento, Arabia Saudita con un 37 por ciento, Filipinas con un 37 por ciento , Turquía con 36 por ciento, Sudáfrica con 36 por ciento y Singapur con 33 por ciento.
El informe también señaló que entre los 40 países estudiados, los factores de motivación para usar VPN varían. A continuación se muestra una tabla resumen de esta relación:
La mayoría de los países, incluidos los EE. UU., Usan VPN para acceder a un mejor contenido de entretenimiento. Si bien esto revela que no todos los usuarios de VPN están preocupados por su privacidad, podemos deducir del gráfico cuáles son. (Cortesía de GlobalWebIndex)
Las aplicaciones VPN móviles son las más populares
Un par de conclusiones más interesantes del informe: la mayoría de los usuarios más jóvenes navegan por Internet con VPN, especialmente en dispositivos móviles. Los detalles son los siguientes:
La gran mayoría de los usuarios de Internet de entre 16 y 24 años (74 por ciento) y entre 25 y 34 (67 por ciento) usan VPN.
Los usuarios acceden a Internet utilizando VPN en dispositivos móviles, que en este caso incluyen teléfonos inteligentes (69 por ciento) y tabletas (33 por ciento).
El 32 por ciento usa VPN en dispositivos móviles casi a diario en comparación con el 29 por ciento a esta frecuencia en una PC o computadora portátil.
Con tantos usuarios (en su mayoría más jóvenes) que adoptan VPN móviles y de escritorio para ver contenido pago o reforzar la privacidad, no es de extrañar que los usuarios de Android e iOS a menudo opten por aplicaciones VPN móviles gratuitas en lugar de productos pagos que pertenecen a nombres más establecidos.
Pero analizar cientos de marcas no es tarea fácil. Y cuanto más investigas, más difícil es elegir. Para el usuario promedio, esto es demasiado trabajo cuando todo lo que quieren hacer es mirar Black Mirror en Netflix. Y es probable que por eso tantas aplicaciones inseguras lleguen al mercado y se instalen en los dispositivos móviles de los usuarios.
«Gratis» no significa «libre de riesgo»
Cuando se trata de cosas gratis en Internet, la mayoría de nosotros sabemos que realmente no obtenemos algo por nada. La mayoría de las veces, pagamos con nuestros datos e información. Si cree que esto no se aplica a las aplicaciones VPN móviles gratuitas, piénselo de nuevo.
«Hay un problema importante con las aplicaciones VPN gratuitas en Google Play y la App Store de Apple», dice Simon Migliano, jefe de investigación en Top10VPN , en una entrevista por correo electrónico. Explica además: “[V] pocos proveedores de VPN ofrecen transparencia sobre su aptitud para operar un servicio tan sensible. Las políticas de privacidad son en gran medida basura, mientras que el 25 por ciento de las aplicaciones sufren fugas de DNS y exponen su identidad. La mayoría está plagada de rastreadores de anuncios y, en el mejor de los casos, es un adware glorificado, en el peor, un spyware «.
En diciembre de 2018, Migliano publicó un informe de investigación sobre las 20 mejores aplicaciones VPN gratuitas en Android que aparece en las búsquedas de Google Play en el Reino Unido y EE. UU. Según el informe, más de las tres cuartas partes (86 por ciento) de estas aplicaciones VPN, que tienen millones de descargas, tienen políticas de privacidad que se consideran inaceptables: el uso de plantillas de políticas de privacidad genéricas que no tienen cláusulas específicas de VPN; las aplicaciones rastrean la actividad del usuario o comparten datos del usuario con terceros; y pocos detalles sobre las políticas de registro que, en su ausencia, «podrían inducir a las personas a [una] falsa sensación de seguridad», por nombrar algunas. La privacidad es solo una de las muchas preocupaciones que Top10VPN había descubierto.
Apple dedicó esta subsección en la guía actualizada para aplicaciones VPN (énfasis nuestro).
Top10VPN también señaló que varias de las 20 mejores aplicaciones VPN en Android e iOS tienen vínculos con China.
Hubo otras investigaciones en el pasado sobre aplicaciones VPN móviles, tanto gratuitas como comerciales. Gracias a ellos, hemos visto mejoras a lo largo de los años, pero algunas de estas preocupaciones persisten. También tenga en cuenta la grave falta de conocimiento de los usuarios, lo que ayudó a que tales aplicaciones VPN gratuitas cuestionables tengan altas calificaciones, fomentando más descargas y posiblemente manteniéndolas en la cima de las filas.
En un informe de investigación exhaustivo de 2016 [PDF] publicado por la Organización de Investigación Científica e Industrial de la Commonwealth (CSIRO) junto con la Universidad de Gales del Sur y UC Berkeley, los investigadores revelaron que algunas aplicaciones VPN móviles, tanto de pago como gratuitas, filtran tráfico de usuarios (84 por ciento para IPv6 y 66 por ciento para DNS), solicitan datos confidenciales de los usuarios (80+ por ciento), emplean encriptación de tráfico cero (18 por ciento) y más de una cuarta parte (38 por ciento) usan malware o publicidad maliciosa .
La fuga de tráfico era un problema no exclusivo de las aplicaciones VPN gratuitas. Investigadores de la Universidad Queen Mary de Londres y la Universidad Sapienza de Roma descubrieron que incluso las aplicaciones VPN comerciales eran culpables del mismo problema. También descubrieron que las configuraciones de DNS de estas aplicaciones de VPN podrían saltarse usando tácticas de secuestro de DNS . Los detalles de su estudio se pueden ver en esta página de Semantic Scholar .
VPN gratis que se comportan mal
Los hallazgos de la investigación son una cosa, pero las organizaciones y las personas que encuentran y comparten sus experiencias sobre los problemas que rodean a las VPN gratuitas hacen que todo lo técnico en papel se vuelva real. Aquí hay ejemplos de eventos en los que las VPN gratuitas estaban (o continúan estando) bajo escrutinio y denunciaron su mal comportamiento.
La queja de Hotspot Shield. El desarrollador de la aplicación VPN móvil AnchorFree, Inc. estuvo en el centro de atención hace un par de años, y no por una buena razón. El Centro para la Democracia y la Tecnología (CDT), un grupo de defensa de los derechos digitales, presentó una queja [PDF] ante la FTC por “intercambio de datos no revelado y poco claro y redirección de tráfico que ocurre en Hotspot Shield Free VPN que debe considerarse comercio injusto y engañoso prácticas bajo la Sección 5 de la Ley FTC «.
La queja decía que se descubrió que Hotspot Shield inyectaba código JavaScript en los navegadores de los usuarios para publicidad y seguimiento, por lo tanto, también los exponía al monitoreo de las fuerzas del orden y otras entidades. La queja de CDT condujo a una denegación de las reclamaciones por parte del desarrollador de la aplicación y la consiguiente formación de su informe anual de transparencia .
HolaVPN atrapado con las manos en la masa. HolaVPN es una de las muchas aplicaciones VPN móviles reconocibles y gratuitas. En 2015, un spammer con el seudónimo de Bui comenzó un ataque de spam contra 8chan, que luego reveló que pudo hacerlo con la ayuda de Luminati, una conocida red de representantes y una compañía hermana de HolaVPN. Lorenzo Franceschi-Bicchierai señaló en su pieza de la placa base que el sitio web de Luminati se jactaba de tener «millones» de nodos de salida. Por supuesto, estos nodos eran todos usuarios gratuitos de HolaVPN.
En diciembre de 2018, la compañía AV, Trend Micro, reveló que encontraron evidencia de la antigua pandilla de delitos cibernéticos KlipVip (que se sabía que difundían software AV falso o rogueware ) usando Luminati para llevar a cabo lo que los investigadores creen que es una campaña de fraude publicitario a gran escala.
Innet VPN y Secnet VPN malvertising. En abril pasado, Lawrence Abrams de BleepingComputer alertó a los usuarios de iPhone de algunas VPN móviles que sacaban una página del libro falso de AV en promoción publicitaria: tácticas de miedo. Los usuarios que hicieron clic en un anuncio falso en sitios populares se encontraron con mensajes emergentes que alegaban que su dispositivo móvil estaba infectado o que estaban siendo rastreados.
Desafortunadamente, esa no fue la primera vez que sucedió esto, y puede que no sea la última. Nuestro propio Jérôme Segura vio de primera mano una campaña similar exactamente un año antes del informe de Bleeping Computer, pero estaba presionando a los usuarios a descargar una VPN llamada MyMobileSecure.
Las VPN no son intrínsecamente malas
A pesar de la evidencia indiscutible del lado sombrío de las aplicaciones VPN móviles gratuitas, el hecho es que no todas son malas. Esta es la razón por la cual es crucial para los usuarios móviles que actualmente usan o buscan usar un servicio VPN gratuito para realizar una investigación sobre qué marcas pueden confiar con sus datos y privacidad. Nadie quiere una aplicación que prometa una cosa, pero hace todo lo contrario.
Cuando los usuarios insisten en usar un servicio VPN gratuito, Migliano sugiere que deberían suscribirse a un servicio basado en el modelo freemium, ya que estas plataformas no tienen publicidad, por lo que mantiene la privacidad intacta. También ofreció preguntas útiles que los usuarios deben hacerse al elegir la mejor VPN que se ajuste a sus necesidades.
“Busque información sobre la empresa. ¿Son [sic] una compañía real con personas reales, con una dirección, número de teléfono y todas las cosas que las compañías normales tienden a tener? ¿Tienen una política de privacidad específica de VPN que explique sus políticas de registro y retención de datos? ¿Han tomado medidas para minimizar el riesgo de uso indebido de datos, como eliminar todos los registros del servidor en tiempo real, por ejemplo? ¿Tienen el soporte al cliente adecuado?
También ten cuidado con las revisiones de VPN. Pueden ser anuncios disfrazados.
Finalmente, los usuarios tienen la opción de optar por un servicio pago, que es un modelo de negocio que siguen la mayoría de los servicios de VPN móviles bien establecidos y legítimos. O pueden crear los suyos . Como no todos son lo suficientemente inteligentes como para hacer lo último, lo primero es la siguiente opción lógica. Migliano está de acuerdo.
«Lo mejor que puedes hacer es pagar por una VPN», dijo. “Cuesta dinero operar una red VPN y, por lo tanto, si no paga directamente, sus datos de navegación se monetizan. Esto es claramente una cruel ironía dado que una VPN está destinada a proteger la privacidad de un usuario «.
YouTube ordenó pagar un acuerdo de $ 170 millones por la infracción de COPPA
Publicado: 12 de septiembre de 2019 por Jovi Umawing
La semana pasada, la Comisión Federal de Comercio (FTC, por sus siglas en inglés) anunció que había requerido que Google y YouTube pagaran una tarifa de liquidación por un total de $ 170 millones después de que se descubriera que su plataforma para compartir videos violaba la Ley de Protección de Privacidad en Línea para Niños (COPPA) . La denuncia fue presentada por la FTC y el Fiscal General de Nueva York, y el primero recibió la multa de $ 136 millones y el último $ 34 millones.
Según el comunicado de prensa de la FTC , esta sanción «es, con mucho, la mayor cantidad que la FTC haya obtenido en un caso de COPPA desde que el Congreso promulgó la ley en 1998».
Comparación de casos de privacidad ganados contra Google (Cortesía: La FTC)
Tenga en cuenta que la queja no involucra la aplicación YouTube Kids, un servicio de YouTube dedicado a mostrar solo contenido dirigido a niños. Aunque la aplicación todavía muestra anuncios , aunque en un grado limitado, no rastrea los datos secundarios para este propósito.
Este triunfo sobre Google y YouTube sigue los pasos de varias quejas presentadas por la FTC en 2019 con el objetivo de proteger la privacidad de los niños en línea. En mayo, se eliminaron tres aplicaciones de citas de los mercados de Apple y Google después de que la FTC alegara que las aplicaciones permitían el acceso a niños de 12 años.
i-Dressup.com, un sitio web de juegos de disfraces, acordó resolver los cargos en abril después de que la FTC presentó una queja, alegando que los operadores del sitio web no solicitaron el consentimiento de los padres al recopilar datos de niños menores de 13 años.
En un caso similar en febrero, la FTC llegó a un acuerdo con Musical.ly , ahora conocido popularmente como TikTok, luego de que se descubriera que sus operadores recopilaban datos de niños pequeños, que incluyen sus nombres completos, direcciones de correo electrónico y otra información de identificación personal ( PII) sin el consentimiento de sus padres.
Un resumen de la violación de YouTube
Desde su inicio, YouTube se ha promocionado como una plataforma para compartir videos para contenido de audiencia general. Fue creado para adultos y no está destinado a niños menores de 13 años.
A través de los años, sin embargo, YouTube se ha convertido en un compañero constante de niños pequeños. De hecho, según la compañía de investigación de mercado, Smarty Pants, YouTube es reconocida como la marca más querida entre los niños estadounidenses de 6 a 12 años durante cuatro años consecutivos desde 2016. [ 1 ] [ 2 ] [ 3 ] [ 4 ]
También es extremadamente difícil defender el argumento de que «YouTube no es para niños» cuando una cantidad considerable de contenido dirigido a niños ya está presente, y continúa creciendo y acumulando miles de millones de visitas, en la plataforma.
El modelo de negocio de YouTube depende de la recopilación de información personal e identificadores persistentes (es decir, cookies ) de los usuarios para publicidad conductual o personalizada. Los propietarios de canales dirigidos por niños que optaron por monetizar su contenido permitieron a YouTube recopilar datos de su público objetivo: niños menores de 13 años, el grupo de edad de YouTube dijo que no estaba hecho para ellos.
Es fácil suponer que YouTube puede no tener los medios para saber qué datos pertenecen a qué grupo de edad, de lo contrario habrían actuado sobre ellos. Sin embargo, según la queja [PDF], YouTube sabía que estaban recopilando datos de niños.
Más sorprendente, incluso, es el hecho de que Google utilizó la popularidad de la marca de YouTube entre los niños pequeños como parte de su táctica de marketing, vendiéndose a fabricantes y marcas de productos y servicios centrados en los niños como «los nuevos dibujos animados de Saturday Morning Cartoons», entre otros.
Cómo Google vende YouTube a terceros que ofrecen bienes y servicios a niños. (Cortesía: la FTC)
A pesar de este conocimiento, YouTube nunca intentó notificar a los padres sobre su proceso de recopilación de datos, ni les pidió a los padres su consentimiento en la recopilación de datos. A los ojos de COPPA, estas son enormes banderas rojas.
Buenas noticias: el cambio positivo está a la mano
El acuerdo acordado entre la FTC y Google / YouTube incluye una compensación monetaria, el pago de $ 170 millones en este caso, y tres medidas cautelares, que se definen como un acto o prohibición que las empresas deben completar según lo ordenado por el tribunal. Según el comunicado de prensa, los mandamientos judiciales son los siguientes:
Google y YouTube deben «desarrollar, implementar y mantener un sistema que permita a los propietarios de canales identificar su contenido dirigido a niños en la plataforma de YouTube para que YouTube pueda garantizar que cumple con COPPA».
Google y YouTube deben «notificar a los propietarios de canales que su contenido dirigido a niños puede estar sujeto a las obligaciones de la Regla COPPA y proporcionar capacitación anual sobre el cumplimiento de COPPA para los empleados que tratan con propietarios de canales de YouTube».
Se prohíbe a Google y YouTube violar la Regla COPPA, y la orden judicial «requiere que notifiquen sobre sus prácticas de recopilación de datos y obtengan el consentimiento de los padres verificables antes de recopilar información personal de los niños».
Una vista panorámica de lo que Google y YouTube deberían estar haciendo en los próximos meses (Cortesía: La FTC )
Como los creadores de contenido también son culpables al informar a la plataforma sobre el tipo de contenido que están produciendo y publicando, la FTC ha notado que si no informa a YouTube que su contenido está dirigido a niños podría estar sujeto a su eliminación de YouTube y otras sanciones civiles .
Susan Wojcicki, CEO de YouTube, visitó su blog oficial para actualizar personalmente a los lectores al ampliar estos cambios y recordar a los usuarios que la compañía ha estado haciendo cambios activamente dentro de la plataforma de video desde el cuarto trimestre de 2017.
«Hemos estado invirtiendo significativamente en las políticas , productos y prácticas para ayudarnos a hacer esto», escribió Wojcicki. “Desde sus primeros días, YouTube ha sido un sitio para personas mayores de 13 años, pero con un auge en el contenido familiar y el aumento de dispositivos compartidos, la probabilidad de que los niños vean sin supervisión ha aumentado. Hemos estado analizando detenidamente las áreas donde podemos hacer más para abordar esto … «
Aquí hay una lista de cambios ampliados que YouTube sufrirá en los próximos meses:
En cuatro meses, los datos de cualquier persona que vea contenido dirigido a niños serán tratados como provenientes de un niño, independientemente de la edad real del espectador.
Los anuncios personalizados ya no se publicarán en contenido dirigido a niños. (Tenga en cuenta que esto no significa que no se mostrarán anuncios).
Algunas funciones de YouTube, como comentarios y notificaciones, no estarán disponibles en dicho contenido.
YouTube utilizará el aprendizaje automático para encontrar contenido dirigido a niños.
YouTube promocionará aún más su aplicación YouTube Kids a los padres mediante la realización de una campaña en YouTube y creando una versión de escritorio de la aplicación.
YouTube brindará apoyo a los creadores de contenido para familias y niños durante la fase de transición.
YouTube está lanzando un fondo de $ 100 millones para que los creadores creen contenido original y reflexivo. Este fondo se dispersa en los próximos tres años.
Insatisfacción general con los resultados.
Mientras que algunos pueden ver esto como una victoria histórica para la FTC y el Fiscal General de Nueva York, otros lo ven como otro ejercicio para evitar el castigo debido a otra gran empresa que infringe la ley.
Caso en cuestión: el Comisionado Rohit Chopra, uno de los dos comisionados que votaron en contra del acuerdo, señaló en su declaración [PDF] los mismos errores que cometió la Comisión en un caso similar de Facebook: “[No hay] responsabilidad individual, remedios insuficientes para abordar los incentivos financieros de la compañía, y una multa que aún le permite a la compañía beneficiarse de su infracción de la ley «.
Chopra también notó inconsistencias con la forma en que la FTC maneja los casos de pequeñas empresas versus grandes empresas. Ergo, el primero es penalizado en exceso, mientras que el segundo es fácil. Con este punto, James P. Steyer, fundador y CEO de Common Sense Media, está de acuerdo.
«El acuerdo no es más que una palmada en la muñeca para una empresa tan grande como Google, y no impone cambios significativos para proteger verdaderamente los datos y la privacidad de los niños», dijo Steyer en un comunicado oficial.
Sin embargo, también reconoció que las reformas declaradas de YouTube están haciendo avanzar el diálogo. “El compromiso de YouTube para promulgar reformas específicas en la plataforma también es un paso en la dirección correcta, pero ahora deben poner recursos detrás de su declaración. Los niños y las familias deben ser una prioridad en Washington, DC y en Silicon Valley ”.
La comisionada Rebecca Slaughter, la otra parte disidente, planteó en su propia declaración [PDF] que las medidas cautelares son incompletas, ya que carecen de las órdenes y / o mecanismos (un «respaldo tecnológico») que garantice que los creadores de contenido estén diciendo la verdad al designar adecuadamente canales de contenido dirigido a niños.
Slaughter no es el único que menciona lo que falta en el asentamiento. Hablando con Angelique Carson, editora de la Asociación Internacional de Privacidad (IAPP) en The Privacy Advisory Podcast , Linnette Attai, presidenta de la firma de cumplimiento global PlayWell y experta de COPPA, expresó sus preocupaciones.
“No estamos viendo la rigurosa auditoría de terceros que hemos visto, tradicionalmente, en los acuerdos de COPPA. No estamos viendo los requisitos para eliminar datos, que es algo que verá en los primeros asentamientos de COPPA, pero parece haberse reducido como una opción para la FTC en los últimos años ”, dijo. “Una cosa es decir: ‘No puedes usar esta información’. Otra muy distinta es decir, ‘Tienes que eliminarlo’, lo que garantiza que no puedas usarlo accidentalmente ”.
V para vigilancia
Todas las personas tienen datos , y en este día y edad, se transmiten regularmente, a menudo con indiferencia, a aquellos que pueden o no apreciar su valor. Si los usuarios no se preocupan por las grandes y pequeñas empresas que cruzan líneas para monetizar datos personales, tal vez un claro recordatorio de que los cibercriminales también persiguen su PII también lo hará considerar seriamente cómo aborda su privacidad de datos.
Los datos de los niños también están siendo atacados por actores de amenazas. De hecho, cuando se trata de fraude, los ciberdelincuentes prefieren los datos que pertenecen a niños que a adultos. Esta es la razón por la cual los padres y los cuidadores deben estar más atentos para mantener seguros sus datos, y los de sus pequeños. Hablar con sus hijos sobre cómo es en línea [PDF], conocer las formas en que puede proteger la privacidad de su hijo e informar a las empresas ante la FTC por posibles violaciones de los derechos de COPPA son tres grandes pasos que puede tomar para no solo mejorar la postura de privacidad de su hijo, sino también su postura de seguridad también
Siete consejos de seguridad para mantenerse seguro en un iPhone
Publicado: 16 de mayo de 2018 por Thomas Reed Última actualización: 10 de septiembre de 2019
Los iPhones tienen fama de ser notoriamente seguros. Después de todo, causaron una gran confusión entre Apple y el FBI porque, desde el punto de vista del FBI, son demasiado seguros. Sin embargo, no dejes que eso te adormezca con una falsa sensación de seguridad. El uso de un iPhone no es una garantía automática de invulnerabilidad, incluso mientras Apple continúa iterando en su producto más popular y rentable.
Aunque el hardware de Apple se está volviendo más seguro todo el tiempo, esa seguridad se vuelve inútil si permite compromisos a través de malos hábitos de ciberseguridad . Los siguientes siete consejos lo ayudarán a asegurarse de que su iPhone sea la fortaleza digital que debería ser.
1. Use una frase de contraseña larga
La mayoría de las personas establece un código PIN de cuatro dígitos, o tal vez el PIN de seis dígitos un poco más seguro, para proteger sus teléfonos. Y claro, esto parece una protección perfectamente aceptable, dado que el teléfono se bloqueará por períodos de tiempo cada vez mayores si un ladrón intenta desbloquearlo con el código incorrecto demasiadas veces. Dependiendo de su configuración, puede borrarse después de 10 intentos incorrectos.
¿Qué puede salir mal? De un posible 10,000 combinaciones, el atacante tiene que adivinar correctamente en los primeros 10 intentos. Las posibilidades de hacerlo son bastante bajas, una en 1,000, para ser precisos. El uso de seis dígitos aumenta aún más sus probabilidades.
Sin embargo, no todos los ataques implican introducir números en la pantalla repetidamente. A lo largo de los años, ha habido muchos dispositivos capaces de volver a intentar números PIN sin fin, sin penalizaciones, aprovechando las vulnerabilidades en el hardware o el software del iPhone. El último de ellos, el dispositivo GrayKey , puede descifrar un PIN de cuatro dígitos en una o dos horas, y un PIN de seis dígitos en tres días o menos.
Si hay una verdad universal sobre estos códigos de acceso, es que más tiempo es mejor. Lo mejor que puede hacer es comenzar a usar una contraseña alfanumérica más larga en lugar de un código PIN. Cada carácter adicional de longitud aumenta el tiempo necesario exponencialmente, y ese tiempo se vuelve aún más largo al agregar letras y símbolos a la mezcla.
Para cambiar a una contraseña más larga, abra la aplicación Configuración, luego toque Touch ID & Passcode. Ingrese su PIN actual, luego toque Cambiar contraseña en la siguiente pantalla. Ingrese su contraseña nuevamente, pero luego, en lugar de ingresar una nueva contraseña, toque Opciones de contraseña. Esto le dará la opción de elegir, entre otras cosas, un código alfanumérico personalizado.
Sé lo que estás pensando. ¿Quién quiere ingresar una contraseña larga cada vez que desbloquean su teléfono? Afortunadamente, los iPhones modernos tienen opciones biométricas convenientes para acceder al dispositivo sin ingresar la contraseña cada vez. Touch ID o Face ID te permiten acceder rápidamente a tu teléfono, sin necesidad de ingresar la contraseña.
Por supuesto, Touch ID y Face ID son características convenientes, no características de seguridad. Existen preocupaciones válidas sobre la seguridad del uso de un patrón biométrico que no se puede cambiar como reemplazo de una contraseña.
Aún así, si le permiten usar una contraseña más larga convenientemente , vale mucho más que evitarlas, sino usar un código PIN corto. Siempre puede bloquear temporalmente el dispositivo para que Touch ID y Face ID no funcionen. Para obtener más información, consulte la información de Apple sobre la seguridad de Touch ID y Face ID .
2. Bloquee su ID de Apple con 2FA
¿Con qué ahora? Esa abreviatura divertida (2FA) significa autenticación de dos factores , un medio de autenticación que requiere no solo algo que sabes , como una contraseña, sino también algo que tienes , como un código temporal de una sola vez. Sin ambos, un atacante no puede acceder a su cuenta.
Su ID de Apple proporciona las claves del reino. Está vinculado a todos los dispositivos que posee. Probablemente tenga una tarjeta de crédito asociada. Su ID de Apple también es su cuenta de iCloud y, como tal, puede contener todo tipo de golosinas tentadoras, incluidas las contraseñas.
Afortunadamente, Apple ofrece 2FA en su ID de Apple , y se recomienda encarecidamente que aproveche esto. Hacerlo significa que siempre tendrá que ingresar su contraseña y un código de seis dígitos enviado a un dispositivo confiable antes de iniciar sesión en su cuenta desde una nueva máquina. Esto hace que sea muy difícil para un hacker acceder a su ID de Apple y a la gran cantidad de datos a los que puede dar acceso.
3. Mantenga su iPhone actualizado
Mantener su sistema y todas sus aplicaciones actualizadas es una parte importante para mantenerse seguro. iOS (el sistema que se ejecuta en iPhones) se actualiza con frecuencia para corregir vulnerabilidades que podrían usarse en varios escenarios para atacar su dispositivo. Algunos de estos son menores, otros son problemas importantes.
Las noticias recientes sobre China infectando los iPhones de personas uigures a través de una serie de vulnerabilidades de iOS es el ejemplo perfecto de por qué es importante la actualización. De las 14 vulnerabilidades utilizadas en estos ataques, como lo documenta Google Project Zero, ¡12 de ellas ya habían sido reparadas por Apple! Sin embargo, todavía estaban en uso, porque muchas de las víctimas no habían actualizado sus teléfonos, por lo que las vulnerabilidades continuaron siendo efectivas.
Peor aún, una vez que se repara una vulnerabilidad y Apple publica sus notas de lanzamiento, eso proporciona a los piratas informáticos un poco de información adicional que puede ayudarlos a encontrar la vulnerabilidad, lo que significa que los sistemas más antiguos están potencialmente en mayor peligro después de ese punto.
4. Use una VPN con Wi-Fi gratis
El wifi público puede ser extremadamente peligroso. Cualquier otra persona en la misma red puede ver las transmisiones de red sin cifrar que realice, y una red no confiable puede realizar todo tipo de ataques de intermediario para phishing u otros fines maliciosos. Por ejemplo, si intenta iniciar sesión en el sitio de su banco con Wi-Fi público, es posible que no esté iniciando sesión en el sitio de su banco. Podría ser un sitio malicioso similar al que los malos actores dentro de la red Wi-Fi te envían.
Siempre puede usar datos celulares cuando está en público, apagando el Wi-Fi en la configuración, pero eso no siempre es práctico, especialmente con los límites de datos en la mayoría de los planes de datos celulares. Afortunadamente, hay una buena solución: una VPN o red privada virtual. Usar una buena VPN significa que todo el tráfico de su red se canaliza a través de una conexión cifrada a un servidor ubicado en otro lugar.
Desafortunadamente, hay muchas VPN inseguras o poco confiables . No ayuda mucho a su seguridad si la VPN es descuidada con sus datos, o si no actúa en su mejor interés. Existen muchas VPN gratuitas, pero recuerda la primera regla de los servicios gratuitos en Internet: si no estás pagando por ello, eres el producto.
Encontrar una VPN segura y confiable puede llevar un poco de trabajo. Afortunadamente, un excelente artículo de Brian Krebs proporciona detalles sobre las VPN y cómo seleccionar una buena. Asegúrese de que la VPN que elija tenga un buen soporte para iOS; todo lo que requiera que descargue una aplicación, pero no ofrezca una aplicación iOS, está fuera de la mesa desde el principio.
5. Use encriptación adicional
El cifrado en el iPhone es una de sus mejores características, pero no es perfecto. Mientras haya alguna posibilidad de descifrar el código de acceso de su iPhone o de obtener acceso a copias de seguridad sin cifrar, sus datos no estarán seguros. Para sus datos particularmente sensibles, como contraseñas, números de seguridad social, números de tarjetas de crédito y similares, necesita un cifrado adicional.
Usar un administrador de contraseñas con su propio cifrado seguro y una contraseña segura diferente de cualquier otra contraseña que use puede ser extremadamente útil. Una utilidad como 1Password puede almacenar una bóveda en iCloud que está encriptada de forma independiente, lo que significa que un atacante que busque sus contraseñas necesitaría primero descifrar su teléfono o cuenta de iCloud para acceder a la bóveda, luego descifrar la bóveda en sí.
Del mismo modo, la propia aplicación de notas de Apple ahora permite la creación de notas cifradas, que se pueden proteger con una contraseña de su elección. El uso de una contraseña segura y única significa que los datos que contiene dicha nota también son bastante seguros.
Cuando se trata de las copias de seguridad de su iPhone, considere hacer una copia de seguridad en su computadora usando iTunes, y configure iTunes para encriptar esas copias de seguridad . Dicha encriptación usará una contraseña separada que establezca, así que asegúrese de usar una contraseña segura y única para eso.
6. Audite la configuración de privacidad periódicamente
Hay muchos permisos que se pueden otorgar a las aplicaciones, como el acceso a la cámara, el micrófono, sus contactos y su ubicación. Es una buena idea realizar un seguimiento de los permisos que ha otorgado a las aplicaciones y revocar los permisos que no sean estrictamente necesarios. Por ejemplo, si publicó una foto en Twitter una vez, pero no es probable que lo vuelva a hacer, sería una buena idea eliminar el derecho de mirar sus fotos desde la aplicación de Twitter.
En Configuración, toque Privacidad. Aquí reside la lista maestra de todos los permisos y a qué aplicaciones les ha otorgado. Revíselos periódicamente y revoque cualquier permiso que no crea que una aplicación en particular necesita.
7. Cuidado con las estafas
El uso de un iPhone no hace nada para protegerte contra llamadas telefónicas o mensajes de texto fraudulentos . Siempre tenga cuidado con las llamadas o mensajes de remitentes desconocidos. Trate cualquier enlace recibido en mensajes de texto con extrema sospecha, incluso si es de alguien que usted conoce, ya que el remitente podría haber sido falsificado o su teléfono podría haber sido robado.
Si toca un enlace en un mensaje y el sitio desea que inicie sesión o proporcione otra información personal, verifique con el remitente que sea legítimo. Si parece ser un sitio con el que está familiarizado, considere visitar el sitio a través de un marcador en lugar del enlace.
También puede considerar el uso de un software de seguridad que puede detectar y bloquear llamadas y textos fraudulentos, como Malwarebytes para iOS .
El teléfono más seguro
Está bien sentirse seguro como propietario de un iPhone. Actualmente, los iPhones son los teléfonos inteligentes más seguros del planeta. Sin embargo, como se demostró aquí, todavía hay muchas maneras en que puede convertirse en una víctima. Así que no asuma que está a salvo automáticamente en virtud de ser dueño de un iPhone.
Hacer las cosas correctas para mantenerse seguro a menudo puede ser más importante que tener el teléfono más seguro.
Cuando las comunicaciones corporativas parecen un phishing
Publicado: 9 de septiembre de 2019 por William Tsing
Muchas organizaciones gastarán importantes sumas de dinero en capacitación de phishing para empleados. Tomando la forma de capacitación periódica de sensibilización, o incluso phishing simulados para evaluar la conciencia de los empleados, esta es una práctica común en empresas más grandes.
Sin embargo, incluso después de la capacitación, una línea base constante de empleados seguirá haciendo clic en un enlace malicioso de un remitente desconocido. Hoy, veremos una razón potencial por la cual podría ser: las comunicaciones corporativas a menudo se ven como phishing en sí mismas, causando confusión entre los remitentes legítimos e ilegítimos.
Plantillas de comunicaciones corporativas
A continuación se muestra una plantilla de correo electrónico que se encuentra en un blog de Microsoft Technet , utilizada como un ejemplo de cómo un administrador de sistemas puede comunicarse con los usuarios.
Si bien tiene buenas intenciones y proporciona a los usuarios instrucciones bastante buenas, esta plantilla cae en conflicto con el diseño de phishing de varias maneras.
La gran «Acción requerida» en rojo con un signo de exclamación crea una falsa sensación de urgencia desproporcionada a la información presentada.
No se proporciona ninguna forma de autenticar el mensaje como comunicaciones corporativas legítimas.
El correo electrónico presenta toda la información a la vez en la misma página, independientemente de la relevancia para un usuario individual.
El enlace de asistencia se encuentra en la parte inferior y sugiere un buzón genérico en lugar de hacer referencia a una persona para contactar.
Entonces, ¿cuál es el daño aquí? ¿Seguramente un usuario puede ignorar algunos diseños exagerados y tomar el mensaje deseado? Un problema es que según Harvard Business Review , el empleado de oficina promedio recibe en promedio 120 correos electrónicos por día. Al operar bajo una sobrecarga de información constante, ese trabajador tomará atajos cognitivos para reducir las interacciones con mensajes que no son relevantes para ellos.
Por lo tanto, capacitar al empleado para que responda reflexivamente a “Acción requerida” puede indicarle que haga lo mismo con correos electrónicos maliciosos . La inclusión de paredes de textos en el cuerpo del correo electrónico refuerza el escaneo en busca de una llamada a la acción (especialmente los enlaces para hacer clic), y la falta de autenticación de mensajes o asistencia humana garantiza que si hay alguna confusión sobre la seguridad, el empleado se equivocará. sin pedir ayuda
Esencialmente, las comunicaciones bien intencionadas con estos defectos de diseño capacitan a un empleado sobrecargado para exhibir malos comportamientos, a pesar de la capacitación contra el phishing, y desalientan la búsqueda de ayuda. No es de extrañar que, según el FBI , las pérdidas por el compromiso del correo electrónico comercial (BEC) hayan aumentado en un 1.300 por ciento desde enero de 2015, y ahora suman más de $ 3 mil millones en todo el mundo.
Con estos antecedentes en mente, ¿qué sucede cuando el empleado recibe un mensaje como este?
Es de destacar que ambos phishing son más accesibles para un lector de lectura que la notificación corporativa de Microsoft, y las llamadas a la acción son menos dramáticas. El phishing de PayPal en particular tiene un logotipo pasable e imita razonablemente el idioma de una alerta de cuenta real.
Un lector más cercano detectaría incongruencias de inmediato: el primer phishing se detectaría al instante. Para el segundo, el dominio del remitente no pertenece a PayPal. Si copia el enlace y lo pega en un editor de texto, el enlace va a un sitio infectado de WordPress en lugar de PayPal, y los números en recuadro con instrucciones parecen extraños. Pero un empleado que recibe 120 correos electrónicos al día no es un lector cercano. Los phishing son «suficientemente buenos».
Una alternativa mas segura
Entonces, ¿cómo lo hacemos mejor? Veamos un correo electrónico de notificación de AirBnB.
En primer lugar, la notificación es breve. Todo el contenido relevante para el usuario se comunica en una sola oración, se hace grande y en negrita para facilitar la lectura por adelantado. Lo que sigue son detalles para que el usuario final autentique la transacción, enumerados en un orden de probable interés descendente para el usuario.
El siguiente es un camino claro para obtener asistencia, expresado en un lenguaje sugerente de una persona en el otro extremo. La última es una breve explicación de por qué el usuario debe considerar la comunicación legítima, con múltiples casos de uso proporcionados para establecer expectativas.
El mito del usuario estúpido.
La discusión de la industria sobre la suplantación de identidad (phishing) y las tasas de clics se centran principalmente en lo horribles e ignorantes que son los usuarios. Las soluciones ofrecidas generalmente se preocupan por restringir la funcionalidad del correo electrónico, los castigos «efectivos» de vergüenza y culpa por hacer clic en el enlace malicioso y la capacitación repetitiva de phishing que no se alinea con la forma en que los usuarios interactúan con el correo electrónico, ni proporciona herramientas adecuadas para responder a correos electrónicos ambiguos, como la plantilla de notificación anterior.
Todo esto es una pérdida de tiempo y presupuesto.
Si una organización tiene un problema de «usuario estúpido», un comienzo más efectivo para abordarlo sería buscar señales de diseño en el entorno de ese usuario. ¿Cuántos correos electrónicos reciben al día, y de ellos, cuántos parecen funcionalmente idénticos? ¿Cuántos no son realmente relevantes o útiles para su trabajo?
Cuando los defensores de la red envían comunicaciones a la empresa, ¿se ven o se sienten como phishing? Si el usuario recibe un correo electrónico incompleto, ¿quién está disponible para ayudarlo? ¿Saben quién es esa persona, si alguien? Al estructurar las cargas de correo electrónico de los empleados de manera que sigan los pasos a continuación, ambos «mejorarán» a un empleado rápidamente y no costarán nada. Los empleados deben por lo tanto:
Tener una carga lo suficientemente ligera como para participar de manera crítica en los mensajes.
Obtenga comunicaciones corporativas adaptadas a sus requisitos laborales
Tenga una manera fácil de autenticar que los remitentes de confianza son quienes dicen ser
Ser capaz de obtener ayuda con cero fricción.
Entonces, antes de que las organizaciones participen en más lamentos y crujir de dientes sobre el «usuario estúpido» y el costo de la capacitación y la prevención, piense por un largo tiempo en cómo se produce la comunicación en su empresa, dónde están los puntos débiles y cómo puede optimizar ese flujo de trabajo.
TrickBot agrega un nuevo truco a su arsenal: manipular textos confiables
Publicado: 3 de septiembre de 2019 por Jovi Umawing Última actualización: 4 de septiembre de 2019
Los investigadores de Dell Secureworks vieron una nueva característica en TrickBot que le permite alterar las sesiones web de los usuarios que tienen ciertos operadores de telefonía móvil. Según una publicación de blog que publicaron a principios de la semana pasada, TrickBot puede hacer esto «interceptando el tráfico de la red antes de que sea procesado por el navegador de la víctima».
Si recuerdas, TrickBot, un conocido troyano bancario que detectamos como Trojan.TrickBot , nació de los mismos actores de amenaza detrás de Dyreza , el malware que roba credenciales que nuestro propio investigador Hasherazade diseccionó en 2015 . Secureworks nombró a los desarrolladores detrás de TrickBot como Gold Blackburn.
Antes de dar un paso más en su escala evolutiva, TrickBot ya tiene un impresionante repertorio de características, como una inyección web dinámica que usa contra sitios web de instituciones financieras; un módulo de gusanos ; una técnica de persistencia usando la Tarea Programada de Windows; la capacidad de robar datos de Microsoft Outlook , cookies e historial de navegación; los medios para apuntar a los sistemas de punto de venta (PoS) ; y la capacidad de propagarse a través de mensajes de spam y moverse lateralmente dentro de una red afectada a través del explorador EternalBlue, Eternal Romance o EternalChampion.
Ahora, más recientemente, la misma función de inyección web se usa contra los tres principales operadores de telefonía móvil con sede en los Estados Unidos: Verizon Wireless, T-Mobile y Sprint. El aumento para dar cabida a los ataques contra los usuarios de estas compañías se agregó a TrickBot el 5 de agosto, el 12 de agosto y el 19 de agosto, según Dell Secureworks.
¿Cómo funciona el ataque?
Cuando los usuarios de los sistemas afectados deciden visitar sitios web legítimos de Verizon Wireless, T-Mobile o Sprint, TrickBot intercepta la respuesta de los servidores oficiales y la pasa al servidor de comando y control (C&C) de los actores de la amenaza , iniciando su característica de inyección web dinámica. El servidor de C&C luego inyecta scripts, específicamente, scripts HTML y JavaScript (JS), dentro del navegador web del usuario afectado, alterando en consecuencia lo que el usuario ve y no ve antes de que se muestre la página web. Por ejemplo, ciertos textos, indicadores de advertencia y campos de formulario pueden eliminarse o agregarse, dependiendo de lo que los actores de la amenaza estén tratando de lograr.
Los investigadores de Dell Secureworks pudieron capturar pruebas de ciertos cambios que TrickBot realiza en la página original de los sitios de operadores móviles.
Aquí se pueden ver las diferencias, pero los usuarios que no son conscientes y que están iniciando sesión pueden no ser capaces de darse cuenta de que algo anda mal. (Cortesía: Dell Secureworks)
Arriba hay una comparación lado a lado de la página de inicio de sesión de Verizon Wireless antes (imagen de la derecha) y después (imagen de la izquierda) TrickBot manipulado. Además de algunos textos que faltan, observe también nuevos campos agregados, específicamente aquellos que solicitan números PIN.
En el caso de Sprint, el cambio es más sutil y bastante transparente: se muestra un formulario PIN adicional una vez que los usuarios pueden iniciar sesión con éxito con su nombre de usuario y contraseña.
La focalización repentina de los PIN de teléfonos móviles sugiere que los agentes de amenaza utilizando TrickBot están mostrando interés en involucrarse con ciertas tácticas de fraude como el fraude puerto de salida y de intercambio de SIM , según los investigadores.
Un fraude de transferencia ocurre cuando los actores de amenazas llaman al operador de telefonía móvil de su objetivo para solicitar que el número del objetivo sea cambiado o transferido a un nuevo proveedor de red. El intercambio de SIM o el secuestro de SIM funciona de manera similar, pero en lugar de cambiar a un nuevo proveedor, el actor de amenaza solicita una nueva tarjeta SIM al proveedor que puede poner en su propio dispositivo.
Esto provocará que todas las llamadas, MMS y SMS supuestamente se envíen al actor de la amenaza. Y si su objetivo es utilizar la autenticación de dos factores basada en texto (2FA) en sus cuentas en línea, el actor de la amenaza puede interceptar fácilmente los mensajes generados por la compañía para obtener acceso a esas cuentas. Esto da como resultado un fraude de adquisición de cuenta (ATO).
Tal estafa generalmente se realiza cuando los actores de amenazas ya se han apoderado de las credenciales de su objetivo y desean evadir 2FA.
¿Cómo protegerse de TrickBot?
Para no reinventar la rueda, le rogamos, querido lector, que regrese y revise nuestra publicación titulada TrickBot que se hace cargo como la principal amenaza comercial en la que describimos los pasos de remediación que las empresas (y los consumidores por igual) pueden seguir. Esta publicación también tiene una sección sobre medidas preventivas, formas en que uno puede disminuir la probabilidad de infección por TrickBot en los puntos finales, comenzando con campañas regulares de educación y sensibilización de los empleados sobre las últimas tácticas y tendencias sobre el panorama de amenazas.
Tenga en cuenta que Malwarebytes detecta y elimina automáticamente TrickBot sin intervención del usuario.
Creo que puedo haber sido víctima de esto. ¿Ahora que?
La mejor acción es llamar a su operador de telefonía móvil para informar el fraude, bloquear su número y considerar solicitar un nuevo número. También puede informar a los estafadores o estafadores a la FTC .
Continúe y cambie las contraseñas de todas sus cuentas en línea que haya vinculado con su número de teléfono.
También puede considerar el uso de métodos de autenticación más fuertes, como el uso de contraseñas de un solo uso (OTP) 2FA (Authy y Google Authenticator) para cuentas que contienen información extremadamente confidencial sobre usted, sus seres queridos y amigos. y su negocio o empleados.
Como el trabajo remoto se ha convertido en una práctica estándar, los empleados trabajan desde cualquier lugar y utilizan cualquier dispositivo que puedan para hacer el trabajo. Eso significa conexiones repetidas a redes Wi-Fi públicas no seguras, en una cafetería o bar de jugos, por ejemplo, y mayores riesgos de fugas de datos de dispositivos perdidos, extraviados o robados.
Piénsalo.
Supongamos que su empleado remoto usa su teléfono inteligente personal para acceder a los servicios en la nube de la compañía, donde puede ver, compartir y realizar cambios en documentos confidenciales como hojas de cálculo financieras, presentaciones y materiales de marketing. Digamos que también inicia sesión en el correo electrónico de la empresa en su dispositivo y descarga algunas copias de archivos importantes directamente en su teléfono.
Ahora, imagine lo que sucede si, por accidente, pierde su dispositivo. Peor aún, imagínese si no usa un código de acceso para desbloquear su teléfono, convirtiendo su dispositivo en un tesoro de datos de la compañía sin forma de protegerlo.
Datos recientes muestran que estos escenarios no son solo hipotéticos: son riesgos reales. Según un estudio del Instituto Ponemon , desde 2016 hasta 2018, el número promedio de incidentes cibernéticos que involucran negligencia de empleados o contratistas ha aumentado en un 26 por ciento.
Para comprender mejor los desafíos y las mejores prácticas para las empresas con fuerzas de trabajo remotas, Malwarebytes se asoció con IDG Connect para producir el documento técnico, » Lattes, lunch y VPN: asegurar a los trabajadores remotos de la manera correcta «. En el documento, mostramos cuán moderno las empresas requieren ciberseguridad moderna y cómo la ciberseguridad moderna significa más que solo implementar la última tecnología. También significa implementar la buena gobernanza.
A continuación se presentan algunos consejos prácticos de nuestro informe, que detallan cómo las empresas deben proteger tanto los dispositivos personales como los proporcionados por el empleador, junto con la seguridad del acceso a las redes de la empresa y los servidores en la nube.
Si desea profundizar y aprender sobre redes segmentadas, VPN, entrenamientos de seguridad y cómo elegir la solución antivirus adecuada, puede leer el informe completo aquí .
1. Proporcione lo que es necesario para que un empleado tenga éxito, tanto en dispositivos como en acceso a datos.
Más dispositivos significan más puntos de acceso, y más puntos de acceso significan más vulnerabilidad. Si bien puede ser tentador ofrecer a cada nuevo empleado las ventajas del último teléfono inteligente, incluso si funcionan de forma remota, debe recordar que no todos los empleados necesitan el último dispositivo para tener éxito en su trabajo.
Por ejemplo, si su equipo de atención al cliente asiste habitualmente a clientes fuera del país, es probable que necesiten dispositivos con planes de llamadas internacionales. Si sus representantes de ventas se reúnen con clientes en el campo, es probable que necesiten dispositivos inteligentes con servicios de GPS y aplicaciones de mapeo. El personal de recepción, por otro lado, podría no necesitar dispositivos inteligentes.
Para garantizar que los datos confidenciales de su empresa no sean accedidos accidentalmente por más dispositivos de los necesarios, proporcione a sus empleados solo los dispositivos que necesitan.
Además, de la misma manera que no todos los empleados necesitan el último dispositivo, tampoco todos los empleados necesitan acceso total a los datos de su empresa y a las cuentas en la nube.
Es probable que su equipo de marketing no necesite acceso general a sus finanzas, y la mayoría de sus empleados no necesitan revisar los informes legales de su empresa, suponiendo que no se encuentre en ningún tipo de situación legal.
En cambio, evalúe qué empleados necesitan acceder a qué datos a través de un modelo de «control de acceso basado en roles» (RBAC) . Los datos más confidenciales solo deben ser accesibles según sea necesario. Si un empleado no utiliza esos datos o la plataforma en la que se comparte, no necesita las credenciales de inicio de sesión para acceder a ellos.
Recuerde, cuantos más dispositivos ofrezca y más acceso tengan los empleados, más fácil será que un tercero o un empleado deshonesto adquiera datos de manera inapropiada. Reduzca el riesgo de datos extraviados y robados al brindar a sus empleados solo las herramientas y el acceso que necesitan.
2. Requerir códigos de acceso y contraseñas en todos los dispositivos provistos por la compañía.
Al igual que usa códigos de acceso y contraseñas para proteger sus dispositivos personales (su computadora portátil, su teléfono inteligente, su tableta), querrá exigir que cualquier empleado que use un dispositivo proporcionado por el empleador haga lo mismo.
Descuidar este simple paso de seguridad produce una vulnerabilidad descomunal. Si un dispositivo no seguro se pierde o es robado, cada persona ajena a la empresa puede acceder a toda la información confidencial almacenada en ese dispositivo, incluida la información de recursos humanos, detalles del cliente, presentaciones e investigaciones.
Si sus empleados también usan plataformas en línea que los mantienen conectados automáticamente, entonces toda esa información también se vuelve vulnerable. Los correos electrónicos de la empresa, los chats de Slack en el horario de trabajo, los documentos creados y compartidos en Dropbox, incluso la información de beneficios de los empleados, podían ser accedidos por error.
Para mantenerse al día con la multitud de aplicaciones de trabajo, software y utilidades basadas en navegador, recomendamos que las organizaciones usen administradores de contraseñas con autenticación de dos factores (2FA). Esto no solo evita que los empleados tengan que recordar docenas de contraseñas, sino que también proporciona un acceso más seguro a los datos de la empresa.
3. Utilice el inicio de sesión único (SSO) y 2FA para los servicios de la empresa.
Como dijimos anteriormente, la pérdida de un dispositivo de la compañía a veces resulta en más que la pérdida de datos almacenados localmente, sino también datos de red y / o basados en la nube a los que puede acceder el dispositivo.
Para limitar esta vulnerabilidad, implemente una solución SSO cuando los empleados quieran acceder a la variedad de sus plataformas disponibles.
El inicio de sesión único ofrece dos beneficios inmediatos. Primero, sus empleados no necesitan recordar una serie de contraseñas para cada aplicación, desde el servicio de solicitud de viajes de la compañía hasta su página de inicio en la intranet. Dos, puede configurar un servicio SSO para requerir una forma secundaria de autenticación, a menudo un mensaje de texto enviado a un dispositivo móvil separado con un código único, cuando los empleados inician sesión.
Al utilizar estas dos funciones, incluso si a su empleado le roban el dispositivo de su compañía, el ladrón no podrá iniciar sesión en ninguna cuenta importante en línea que almacene otros datos confidenciales de la compañía.
Dos de los proveedores de inicio de sesión único más populares para pequeñas y medianas empresas son Okta y OneLogin .
4. Instale capacidades de limpieza remota en dispositivos provistos por la compañía.
Por lo tanto, sus dispositivos requieren contraseñas y los recursos en línea de su empresa también tienen habilitada la autenticación de dos factores. Bueno.
Pero, ¿qué sucede si un empleado se vuelve loco? Las medidas de seguridad anteriores ayudan cuando se roba o se pierde un dispositivo, pero ¿qué sucede cuando la amenaza proviene del interior y ya tienen todas las credenciales necesarias para saquear los archivos de la empresa?
Puede sonar como un caso extremo, pero no tiene que desplazarse hacia abajo en los resultados de búsqueda de Google de «empleado roba datos de la empresa» para saber con qué frecuencia sucede esto.
Para limitar esta amenaza, debe instalar capacidades de borrado remoto en los dispositivos proporcionados por su empresa. Este tipo de software a menudo permite a las empresas no solo borrar un dispositivo que está fuera del alcance físico, sino también localizarlo y bloquear al usuario actual.
Las opciones proporcionadas por el fabricante del teléfono, como Buscar mi iPhone en dispositivos Apple y Buscar mi móvil en dispositivos Samsung, permiten a los propietarios de dispositivos ubicar un dispositivo, bloquear su pantalla y borrar todos los datos almacenados localmente.
5. Implemente las mejores prácticas para una política de Traiga su propio dispositivo (BYOD).
Cuando se trata de trabajadores remotos, la implementación de una política Traiga su propio dispositivotiene sentido. Los empleados a menudo prefieren usar dispositivos móviles y computadoras portátiles que ya saben cómo usar, en lugar de tener que aprender un nuevo dispositivo y quizás un nuevo sistema operativo. Además, los costos de hardware para su negocio son claramente más bajos.
Pero debe conocer los riesgos de que sus empleados solo realicen su trabajo en sus dispositivos personales.
Como dijimos anteriormente, si su empleado pierde un dispositivo personal que usa para almacenar y acceder a datos confidenciales de la compañía, entonces esos datos están en riesgo de robo y uso indebido. Además, cuando los empleados confían en sus máquinas personales para conectarse a redes Wi-Fi públicas y no seguras, pueden ser vulnerables a los ataques de intermediarios , en los que los actores de amenazas invisibles pueden mirar el tráfico que se envía y recibe por su máquina
Además, si bien los costos de hardware para usar BYOD son más bajos, a veces una empresa dedica más tiempo a garantizar que los dispositivos personales de los empleados puedan ejecutar el software requerido, lo que podría disminuir la productividad de su equipo de soporte de TI.
Finalmente, si varias personas utilizan un dispositivo personal, lo que no es raro entre las parejas románticas y los miembros de la familia, un tercero no malintencionado podría acceder, distribuir y eliminar accidentalmente los datos de la empresa.
Para abordar estos riesgos, podría considerar implementar algunas de las siguientes mejores prácticas para los dispositivos personales que usan sus empleados para hacer su trabajo:
Requerir el cifrado de todos los datos locales en dispositivos personales.
Requerir una contraseña en todos los dispositivos personales.
Habilite «Buscar mi iPhone», «Buscar mi móvil» o funciones similares en dispositivos personales.
No permitir el jailbreak de dispositivos personales.
Cree una lista de dispositivos aprobados para los empleados.
Depende de usted qué prácticas desea implementar. Debe encontrar un equilibrio entre asegurar a sus empleados y preservar la confianza que viene con una política BYOD.
Una publicación de Ian Beer de Google Project Zero publicada ayer por la noche envió a la comunidad de seguridad tambaleándose. Según Beer, un pequeño conjunto de sitios web había sido pirateado en febrero y se estaban utilizando para atacar iPhones e infectarlos con malware. Estos sitios, que reciben miles de visitantes por semana, se usaron para distribuir malware iOS durante un período de dos años.
Historial de infecciones de iOS
Históricamente, iOS nunca ha estado completamente libre de malware, pero en su mayoría se ha limitado a uno de dos escenarios: ya sea que rompas tu dispositivo, lo hackees para eliminar las restricciones de seguridad e instales algo malicioso como resultado, o fuiste el objetivo de un adversario de estado nación. Un ejemplo clásico de esto último fue el caso de Ahmed Mansoor , en el que fue atacado con un mensaje de texto en un intento de infectar su teléfono con el malware de la NSO, ahora conocido como Trident .
La dificultad de infectar un iPhone es que requiere algún tipo de vulnerabilidad de día cero (es decir, desconocida para la comunidad de seguridad en el momento de su lanzamiento), y estas vulnerabilidades pueden valer $ 1 millón o más en el mercado abierto. Las compañías como Zerodium los comprarán, pero el uso generalizado de tales vulnerabilidades los «quema», lo que hace más probable que Apple se entere de su existencia y aplique soluciones.
Esto es exactamente lo que sucedió en el caso de Trident: un mensaje de texto torpe a un periodista que ya era cauteloso resultó en tres vulnerabilidades separadas de un millón de dólares que se descubrieron y repararon.
Por lo tanto, las infecciones de malware de iPhone siempre se vieron como problemas que no afectaron a la gente promedio. Después de todo, ¿quién gastaría $ 1 millón o más para infectar a las personas, a menos que la ganancia fuera mayor que el costo potencial? Nunca hubo ninguna garantía, por supuesto, y los hallazgos de Beer han alterado esa sabiduría convencional.
Mecanismo de infección
Según Beer, los sitios web en cuestión «se estaban utilizando en ataques indiscriminados de pozos de agua contra sus visitantes», utilizando 14 vulnerabilidades diferentes en iOS que se combinaron en cinco cadenas de ataque diferentes.
Una cadena de ataque es una serie de dos o más vulnerabilidades que se pueden usar juntas para lograr un objetivo en particular, generalmente la infección del sistema de destino. En tales casos, una de las vulnerabilidades por sí sola no es suficiente para lograr el objetivo, pero la combinación de dos o más lo hace posible.
Entre las vulnerabilidades utilizadas, solo se mencionó que dos todavía eran de día cero en el momento del descubrimiento (CVE-2019-7286 y CVE-2019-7287). Apple corrigió esto en el lanzamiento de iOS 12.1.4 el 7 de febrero. Los 12 restantes no eran días cero en ese momento, lo que significa que ya eran conocidos y Apple ya los había parchado. Las diversas cadenas de ataque fueron capaces de infectar dispositivos que ejecutan iOS 10 hasta iOS 12.1.3.
Sobre el contenido de seguridad de iOS 12.1.4
Para los de mentalidad técnica, Beer ha incluido descripciones excelentes y muy detalladas de cada cadena de ataque. Sin embargo, lo importante es que cada una de estas cadenas de ataque fue diseñada para colocar el mismo implante en el dispositivo, y es ese implante (el malware del iPhone) en el que nos centraremos aquí.
iPhone malware / comportamiento del implante
El implante de malware de iPhone, al que no se le ha dado un nombre, puede escapar del entorno limitado de iOS y ejecutarse como root, lo que básicamente significa que ha pasado por alto los mecanismos de seguridad de iOS y tiene el más alto nivel de privilegios.
El implante se comunica con un servidor de comando y control (C&C) en una dirección IP codificada sobre HTTP sin cifrar. Además de cargar datos en el servidor, también puede recibir varios comandos del servidor.
systemmail : upload email from the default Mail.app
device : upload device identifiers
(IMEI, phone number, serial number etc)
locate : upload location from CoreLocation
contact : upload contacts database
callhistory : upload phone call history
message : upload iMessage/SMSes
notes : upload notes made in Notes.app
applist : upload a list of installed non-Apple apps
keychain : upload passwords and certificates stored in the keychain
recordings : upload voice memos made using the built-in voice memos app
msgattach : upload SMS and iMessage attachments
priorapps : upload app-container directories from hardcoded list of
third-party apps if installed (appPriorLists)
photo : upload photos from the camera roll
allapp : upload container directories of all apps
app : upload container directories of particular apps by bundle ID
dl : unimplemented
shot : unimplemented
live : unimplemented
Esta lista de comandos revela una lista aterradora de capacidades. Entre otras cosas, el malware de iPhone es capaz de robar todos los llaveros, fotos, mensajes SMS, mensajes de correo electrónico, contactos, notas y grabaciones. También puede recuperar el historial completo de llamadas, y es capaz de hacer un monitoreo en tiempo real de la ubicación del dispositivo.
También incluye la capacidad de obtener las transcripciones de chat no cifradas de varios de los principales clientes de mensajería cifrada de extremo a extremo , incluidos Mensajes, Whatsapp y Telegram. Deja que eso se hunda por un minuto. Si está infectado, todos los mensajes cifrados no solo son recopilados por el atacante, sino que se transfieren en texto claro a través de Internet.
¿Qué hago ahora? 😱
La mala noticia es que aún no sabemos qué sitios web se vieron afectados, por lo que es imposible saber quién pudo haber sido infectado con este misterioso malware de iPhone. Eso está causando una gran cantidad de miedo entre los conscientes del problema.
Afortunadamente, no hay necesidad de entrar en pánico en este momento. Estas vulnerabilidades han sido parcheadas desde hace bastante tiempo. Además, el implante es realmente incapaz de permanecer persistente después de un reinicio. Esto significa que cada vez que se reinicia un iPhone infectado, como cuando se instala una actualización de iOS, por ejemplo, se retira el implante. (Por supuesto, un dispositivo vulnerable siempre se puede volver a infectar visitando un sitio afectado).
Debido a esto, cualquier dispositivo que ejecute iOS 12.1.4 no solo es inmune a estos ataques particulares, sino que tampoco puede infectarse más, debido al reinicio al instalar 12.1.4 (o posterior). Es poco probable que alguien siga infectado en este momento, a menos que nunca actualice o reinicie su teléfono. Si le preocupa que pueda estar infectado, simplemente instale la última actualización de iOS, que también reiniciará el teléfono y eliminará el malware, si está presente.
Si tiene un teléfono que sospecha que podría estar infectado, parece que hay una prueba fácil para ver si es así, pero tendría que hacerlo antes de reiniciar, ya que el malware debe estar activo. (Descargo de responsabilidad: sin tener una copia del implante, no he podido verificar esto personalmente ni encontrar a nadie más que haya podido hacerlo).
Primero, conecte el dispositivo afectado a una Mac a través de un cable Lightning (o, en el caso de un iPad Pro, USB-C).
A continuación, abra la aplicación Consola en la Mac, que se encuentra en la carpeta Utilidades en la carpeta Aplicaciones.
En la consola, ubique el teléfono en la lista Dispositivos y selecciónelo.
En este punto, verá que los mensajes de registro del dispositivo iOS comienzan a desplazarse en el panel de la derecha. Aunque la consola no le mostrará mensajes pasados, si monitorea, dentro de los 60 segundos o menos, un dispositivo iOS infectado debe generar mensajes que contengan ciertas frases, como «uploadDevice», «postFile success» y «timer trig.» se puede encontrar una lista de posibles cadenas para buscar en el desmontaje del implante de Beer ; en cualquier lugar, el código muestra un comando NSLog, que representa un mensaje que se repetirá en el registro.
¿Quién fue afectado?
En este punto, es imposible saber quién es responsable o quién fue infectado, sin más información, como los nombres de los sitios comprometidos.
El artículo de Beer comienza diciendo que el malware no se dirigió a personas específicas:
Los sitios pirateados se estaban utilizando en ataques indiscriminados de pozos de agua contra sus visitantes, usando iPhone 0-day.
No hubo discriminación objetivo; simplemente visitar el sitio pirateado fue suficiente para que el servidor exploit ataque su dispositivo, y si tuvo éxito, instale un implante de monitoreo.
Ian Beer, https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
Esto deja las cosas un poco abiertas a la interpretación. Ciertamente parece que el malware no estaba dirigido a individuos. Sin embargo, eso no significa necesariamente que no fue dirigido.
Como ejemplo, en los ataques a los pozos de agua utilizados en los recientes ataques contra Coinbase y otras compañías de criptomonedas, usando un día cero de Firefox, muchas personas visitaron la página que contiene el exploit. Sin embargo, solo un puñado fue seleccionado por los scripts maliciosos para ser infectados.
Claramente, ese tipo de focalización no ocurrió en este caso. Sin embargo, eso no significa necesariamente que el ataque no haya sido dirigido a un grupo particular de personas que probablemente visiten los sitios pirateados. De hecho, ese es el modus operandi típico para un ataque a un pozo de agua: un sitio que probablemente sea visitado por el grupo objetivo se ve comprometido y se utiliza para propagar malware. Tal cosa sucedió en 2013, cuando los atacantes comprometieron un sitio web de desarrolladores con un exploit basado en Java, infectando a los desarrolladores de muchas compañías importantes, incluida Apple, con el malware OSX .
Cerca del final del artículo, dice:
La realidad sigue siendo que las protecciones de seguridad nunca eliminarán el riesgo de ataque si estás siendo atacado. Ser objetivo podría significar simplemente haber nacido en una determinada región geográfica o ser parte de un determinado grupo étnico.
Ian Beer, https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
Algunos han interpretado esto como una pista de que las personas dentro de una determinada región o grupo étnico fueron blanco de este ataque, pero mi lectura es que esto es simplemente un consejo general sobre lo que significa que alguien sea «objetivo», en el contexto más amplio de discusión sobre el malware dirigido contra el no dirigido.
No pretendo dar a entender que China sea el culpable, ya que eso no puede conocerse con la información actualmente disponible. Este es simplemente un ejemplo para señalar que este podría ser un incidente similar, perpetrado por un país que está utilizando técnicas similares. Por otra parte, también puede no ser. El tiempo con suerte lo dirá.
Trascendencia
Aunque la amenaza de este incidente en particular ha pasado, esta fue una revelación reveladora. Finalmente, nada ha cambiado realmente. Este tipo de ataque siempre fue una posibilidad; simplemente no había sucedido todavía. Ahora que lo ha hecho, la gente no verá el iPhone de la misma manera.
Sigo pensando que el iPhone es el teléfono más seguro del planeta (sin contar los dispositivos oscuros o clasificados que solo son seguros porque pocas personas los tienen). Sin embargo, siempre hay vulnerabilidades, y es muy posible que este tipo de ataque pueda estar ocurriendo en este momento, en otro lugar, contra la versión actual de iOS.
También vale la pena señalar que la mayoría de estas vulnerabilidades no eran realmente días cero en el momento de su descubrimiento. Muchas personas nunca actualizan sus dispositivos y, como resultado, los días cero no siempre son necesarios. Siempre se recomienda actualizar a la última versión de iOS, y habría protegido contra todas las cadenas de ataque menos una hasta el 7 de febrero, y todas ellas después.
La naturaleza extremadamente cerrada de iOS significa que cuando aparece un malware como este, no hay forma de que las personas sepan si sus dispositivos están infectados o no. Si este malware fuera capaz de permanecer persistente, y si no filtrara cadenas en los registros, sería más difícil identificar si un iPhone estaba infectado, y esto conduciría a situaciones peligrosas.
Aunque Apple no permite el software antivirus en iOS, es necesario que haya algún medio para que los usuarios verifiquen sus dispositivos en busca de amenazas conocidas. ¿Quizás algo relacionado con dispositivos desbloqueados conectados por cable a máquinas confiables? Si tal cosa fuera posible, este ataque probablemente no hubiera pasado desapercibido durante dos años.
