Etiqueta: Noticias de ciberseguridad hoy Página 3 de 43

17 de septiembre de 2024Ravie LakshmananCriptomoneda / Malware La plataforma de intercambio de criptomonedas Binance advierte sobre una amenaza global «en curso» que apunta a los usuarios de criptomonedas con malware Clipper con el objetivo de facilitar el fraude financiero. El malware Clipper, también llamado ClipBankers, es un tipo de malware que Microsoft llama cryware, que viene con capacidades para monitorear la actividad del portapapeles de una víctima y robar datos confidenciales que un usuario copia, incluido el reemplazo de direcciones de criptomonedas con aquellas que están bajo el control de un atacante. Al hacerlo, las transferencias de activos digitales iniciadas en un sistema comprometido se enrutan a una billetera fraudulenta en lugar de a la dirección de destino prevista. «Al recortar y cambiar, un cryware monitorea el contenido del portapapeles de un usuario y usa patrones de búsqueda de cadenas para buscar e identificar una cadena que se parezca a una dirección de billetera activa», señaló el gigante tecnológico en 2022. «Si el usuario objetivo pega o usa CTRL + V en una ventana de aplicación, el cryware reemplaza el objeto en el portapapeles con la dirección del atacante». Binance, en un aviso emitido el 13 de septiembre de 2024, dijo que ha estado rastreando una amenaza de malware generalizada que intercepta datos almacenados en el portapapeles con el objetivo de intercambiar direcciones de billeteras de criptomonedas. «El problema ha experimentado un aumento notable en la actividad, particularmente el 27 de agosto de 2024, lo que provocó pérdidas financieras significativas para los usuarios afectados», dijo el intercambio. «El malware a menudo se distribuye a través de aplicaciones y complementos no oficiales, especialmente en aplicaciones web y de Android, pero los usuarios de iOS también deben permanecer atentos». Existe evidencia que sugiere que estas aplicaciones maliciosas son instaladas inadvertidamente por los usuarios cuando buscan software en sus idiomas nativos o a través de canales no oficiales, principalmente debido a las restricciones en sus países. La compañía también dijo que está tomando medidas para bloquear las direcciones de los atacantes para evitar más transacciones fraudulentas, y que ha notificado a los usuarios afectados, aconsejándoles que comprueben si hay señales de software o complementos sospechosos. Además de instar a los usuarios a abstenerse de descargar software de fuentes no oficiales, Binance pide tener cuidado a la hora de instalar aplicaciones y complementos y asegurarse de que sean auténticos. La empresa de análisis de blockchain Chainalysis reveló el mes pasado que la actividad ilícita agregada en la cadena ha disminuido casi un 20% en lo que va de año, aunque las entradas de fondos robados casi se duplicaron de 857 millones de dólares a 1.580 millones de dólares. «Los estafadores en su mayor parte siguen alejándose de los esquemas Ponzi de base amplia hacia campañas más específicas como el sacrificio de cerdos, las estafas de trabajo desde casa, los vaciadores o el envenenamiento de direcciones», dijo, añadiendo que observó un «aumento en el uso de mercados en idioma chino y redes de lavado de dinero». Según la Oficina Federal de Investigaciones (FBI) de Estados Unidos, 2023 fue un año récord en materia de fraudes con criptomonedas, con pérdidas totales que superaron los 5.600 millones de dólares, un aumento del 45% en comparación con el año anterior. «La explotación de las criptomonedas fue más generalizada en las estafas de inversión, donde las pérdidas representaron casi el 71% de todas las pérdidas relacionadas con las criptomonedas. Los fraudes de los centros de llamadas, incluidas las estafas de soporte técnico/al cliente y las estafas de suplantación de identidad del gobierno, representaron aproximadamente el 10% de las pérdidas asociadas a las criptomonedas», dijo el Centro de Quejas de Delitos en Internet (IC3) del FBI. Una gran mayoría de las pérdidas relacionadas con las criptomonedas se originaron en Estados Unidos, seguido de las Islas Caimán, México, Canadá, el Reino Unido, India, Australia, Israel, Alemania y Nigeria. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

17 de septiembre de 2024Ravie LakshmananInteligencia artificial / Cumplimiento normativo Meta ha anunciado que comenzará a entrenar sus sistemas de inteligencia artificial (IA) utilizando contenido público compartido por usuarios adultos en Facebook e Instagram en el Reino Unido en los próximos meses. «Esto significa que nuestros modelos de IA generativa reflejarán la cultura, la historia y el idioma británicos, y que las empresas e instituciones del Reino Unido podrán utilizar la última tecnología», dijo el gigante de las redes sociales. Como parte del proceso, se espera que los usuarios mayores de 18 años reciban notificaciones en la aplicación a partir de esta semana tanto en Facebook como en Instagram, explicando su modus operandi y cómo pueden acceder fácilmente a un formulario de objeción para negar que sus datos se utilicen para entrenar los modelos de IA generativa de la empresa. La empresa dijo que respetará las elecciones de los usuarios y que no se comunicará con los usuarios que ya se hayan opuesto a que sus datos se utilicen para su propósito. También señaló que no incluirá mensajes privados con amigos y familiares, así como información de cuentas de menores. Además, Meta dijo que el resultado es el resultado de su compromiso con la Oficina del Comisionado de Información del Reino Unido (ICO) y su orientación en apoyo de la implementación de Meta de la base legal de los Intereses Legítimos, que dijo es un mecanismo válido para usar datos de primera parte para entrenar sus modelos de IA. «Si bien nuestro enfoque original era más transparente que el de nuestros homólogos de la industria, hemos incorporado los comentarios de la ICO para hacer que nuestro formulario de objeción sea aún más simple, más destacado y más fácil de encontrar», agregó Meta. Vale la pena señalar que Meta ha detenido esfuerzos similares en la Unión Europea luego de una solicitud de la Comisión de Protección de Datos de Irlanda (DPC) a partir de junio de 2024. Calificó la medida como un «paso atrás para la innovación europea». Desde entonces, la organización sin fines de lucro austriaca de privacidad noyb ha acusado a la compañía de trasladar la carga a los usuarios, es decir, hacer que la opción de no participar sea opcional en lugar de opcional, y de no brindar información adecuada sobre cómo la compañía planea usar los datos de Facebook e Instagram de acceso público. El desarrollo se produce luego de que Meta suspendiera el uso de IA generativa en Brasil después de que la autoridad de protección de datos del país emitiera una prohibición preliminar objetando su nueva política de privacidad. La ICO, en respuesta a los planes de Meta, dijo que tiene la intención de monitorear la situación mientras la compañía notifica a los usuarios y comienza a procesar sus datos. «Hemos sido claros en que cualquier organización que use la información de sus usuarios para entrenar modelos de IA generativa debe ser transparente sobre cómo se utilizan los datos de las personas», dijo Stephen Almond, director ejecutivo de riesgo regulatorio en la ICO. «Las organizaciones deben implementar salvaguardas efectivas antes de comenzar a usar datos personales para el entrenamiento de modelos, incluyendo proporcionar una ruta clara y simple para que los usuarios se opongan al procesamiento. La ICO no ha otorgado la aprobación regulatoria para el procesamiento y es Meta quien debe garantizar y demostrar el cumplimiento continuo». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

17 de septiembre de 2024The Hacker NewsSeguridad de GenAI / Seguridad de SaaS Cuando conecta la cuenta de Google Drive de su organización a ChatGPT, otorga a ChatGPT amplios permisos no solo para sus archivos personales, sino también para los recursos de toda su unidad compartida. Como puede imaginar, esto presenta una serie de desafíos de ciberseguridad. Esta publicación describe cómo ver la actividad de ChatGPT de forma nativa en la consola de administración de Google Workspace y cómo Nudge Security puede brindar visibilidad completa de todas las integraciones de genAI. Desde el lanzamiento de ChatGPT en 2022, OpenAI ha desafiado las expectativas con un flujo constante de anuncios y mejoras de productos. Uno de esos anuncios se produjo el 16 de mayo de 2024 y, para la mayoría de los consumidores, probablemente se sintió inofensivo. Titulada «Mejoras en el análisis de datos en ChatGPT», la publicación describe cómo los usuarios pueden agregar archivos directamente desde Google Drive y Microsoft OneDrive. Vale la pena mencionar que otras herramientas de genAI como Google AI Studio y Claude Enterprise también han agregado capacidades similares recientemente. Bastante genial, ¿verdad? Tal vez. Cuando conectas la cuenta de Google Drive o OneDrive de tu organización a ChatGPT (u otras herramientas de genAI), le otorgas amplios permisos no solo para tus archivos personales, sino también para los recursos de toda tu unidad compartida. Como puedes imaginar, los beneficios de este tipo de integración amplia vienen con una variedad de desafíos de ciberseguridad. Entonces, ¿cómo puedes averiguar si los empleados han habilitado la integración entre ChatGPT y Google Drive, y cómo puedes monitorear a qué archivos se ha accedido? Esta publicación explica cómo hacer esto de forma nativa en Google Workspace y cómo Nudge Security puede ayudarte a descubrir todas las aplicaciones de genAI en uso y con qué otras aplicaciones se han integrado. Dónde ver la actividad de ChatGPT en Google Workspace En Google Workspace, hay un par de formas de identificar e investigar la actividad asociada con la conexión de ChatGPT. Desde la Consola de administración de Google Workspace, navega a Informes > Auditoría e investigación > Eventos de registro de Drive. Aquí verás una lista de los recursos de Google Drive a los que se ha accedido. También puedes investigar la actividad a través de llamadas a la API en Informes → Auditoría e investigación → Eventos de registro de Oauth. Por lo tanto, revisar periódicamente tu consola de administración de Google Workspace puede ayudarte a entender a qué recursos accede ChatGPT, pero ver esta actividad después de que ya haya sucedido es, por supuesto, menos valioso que recibir una alerta tan pronto como se creen nuevas integraciones con ChatGPT. Aquí es donde Nudge Security puede ayudar. Cómo ver todas las integraciones de genAI con Nudge Security Nudge Security descubre todas las cuentas creadas por cualquier persona en tu organización para cualquier aplicación SaaS, incluido ChatGPT y la lista en rápida expansión de herramientas genAI recién creadas, sin requerir ningún conocimiento previo de la existencia de la herramienta. Con el panel de IA integrado, los clientes pueden mantenerse al día con la adopción de IA y mitigar de forma proactiva los riesgos de seguridad de IA. Además, Nudge Security muestra todas las concesiones de OAuth de tu organización, como las otorgadas a ChatGPT, dentro de un panel de OAuth filtrable que incluye información sobre el tipo de concesión (inicio de sesión o integración), la actividad y los riesgos. Filtrar por categoría para ver todas las subvenciones asociadas con herramientas de IA: Haga clic en una subvención para abrir una pantalla de detalles, donde puede revisar un perfil de riesgo, detalles sobre quién creó la subvención y cuándo, detalles de acceso, alcances otorgados y más: Luego, puede enviar un «recuerdo» al creador de la subvención a través de Slack o correo electrónico para que realice una determinada acción, como limitar el alcance de la subvención, o puede revocar inmediatamente la subvención desde la interfaz de usuario de Nudge Security. Finalmente, puede configurar una regla personalizada para asegurarse de recibir una notificación cuando un usuario de su organización crea una subvención OAuth para ChatGPT, o cualquier otra aplicación genAI. También puede crear reglas para recibir alertas de inmediato cuando se creen nuevas cuentas genAI y recomendar a los nuevos usuarios genAI que revisen y reconozcan su política de uso aceptable genAI. Equilibrar la productividad con la seguridad Si bien la integración de ChatGPT con Google Drive y Microsoft OneDrive ofrece un inmenso potencial para mejorar la productividad, también abre la puerta a importantes riesgos de seguridad. Las organizaciones deben abordar estas integraciones con una comprensión clara de los riesgos potenciales e implementar medidas de seguridad y gobernanza adecuadas para mitigarlos. Nudge Security ofrece visibilidad, contexto y automatización para ayudar a las empresas a adoptar herramientas genAI sin comprometer la seguridad de los datos. Comience hoy mismo una prueba gratuita de 14 días para descubrir de inmediato todas las aplicaciones genAI que se han incorporado a su organización, junto con todas las integraciones con sus otras aplicaciones. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

17 de septiembre de 2024Ravie LakshmananSoftware espía / Privacidad El Departamento del Tesoro de Estados Unidos ha impuesto nuevas sanciones contra cinco ejecutivos y una entidad vinculada al Consorcio Intellexa por su papel en el desarrollo, operación y distribución de un software espía comercial llamado Predator. «Estados Unidos no tolerará la propagación imprudente de tecnologías disruptivas que amenazan nuestra seguridad nacional y socavan la privacidad y las libertades civiles de nuestros ciudadanos», dijo el subsecretario interino del Tesoro para Terrorismo e Inteligencia Financiera, Bradley T. Smith. «Seguiremos responsabilizando a quienes busquen permitir la proliferación de tecnologías explotadoras, al tiempo que alentamos el desarrollo responsable de tecnologías que se alineen con los estándares internacionales». Las personas y entidades sancionadas se enumeran a continuación: Felix Bitzios, el beneficiario de una empresa del Consorcio Intellexa que se cree que ha suministrado Predator a un cliente de un gobierno extranjero y el gerente de Intellexa SA Andrea Nicola Constantino Hermes Gambazzi, el beneficiario de Thalestris Limited e Intellexa Limited, que son miembros del Consorcio Intellexa Merom Harpaz, un alto ejecutivo del Consorcio Intellexa y el gerente de Intellexa SA Panagiota Karaoli, director de múltiples entidades del Consorcio Intellexa que están controladas por o son una subsidiaria de Thalestris Limited Artemis Artemiou, un empleado de Intellexa SA, así como el gerente general y miembro de la junta de Cytrox Holdings, otro miembro del Consorcio Intellexa Aliada GroupInc., una empresa con sede en las Islas Vírgenes Británicas y miembro del Consorcio Intellexa ha facilitado decenas de millones de dólares en transacciones Thalestris Limited ha participado en el procesamiento de transacciones en nombre de otras entidades dentro de Intellexa El Departamento del Tesoro dijo que el Grupo Aliada está dirigido por Tal Jonathan Dilian, el fundador del Consorcio Intellexa. El departamento describió el consorcio como una «red internacional compleja de empresas descentralizadas que construyeron y comercializaron una suite integral de productos de software espía altamente invasivos». El desarrollo se produce poco más de seis meses después de que el Tesoro sancionara a Dilian, Sara Aleksandra Fayssal Hamou y otras cinco entidades, incluida Intellexa SA, por motivos similares. Las sanciones coinciden con un resurgimiento de la actividad del software espía Predator después de un período de relativo silencio por parte de posibles clientes en Angola, la República Democrática del Congo (RDC) y Arabia Saudita que utilizan una nueva infraestructura diseñada para evadir la detección. «La última evolución de la infraestructura de Predator incluye un nivel adicional en su infraestructura de entrega para mejorar la anonimización del cliente y una mayor seguridad operativa en sus configuraciones de servidor y dominios asociados», dijo Recorded Future. «Aunque los operadores del software espía Predator han cambiado aspectos importantes de la configuración de su infraestructura, incluidos cambios que dificultan la atribución específica de un país, en gran medida han conservado su modo de operación». También se produce tras la decisión de Apple de presentar una moción para desestimar su demanda contra NSO Group por razones de que las revelaciones judiciales podrían poner en peligro sus esfuerzos para combatir el software espía, que se están tomando medidas para evitar compartir información relacionada con el software espía Pegasus y que el impacto podría diluirse como resultado de un mercado de software espía en expansión con nuevos actores emergentes. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

17 de septiembre de 2024Ravie LakshmananSeguridad del navegador / Computación cuántica Google ha anunciado que cambiará de KYBER a ML-KEM en su navegador web Chrome como parte de sus esfuerzos continuos para defenderse del riesgo que plantean las computadoras cuánticas criptográficamente relevantes (CRQC). «Chrome ofrecerá una predicción de la clave compartida para ML-KEM híbrido (punto de código 0x11EC)», dijeron David Adrian, David Benjamin, Bob Beck y Devon O’Brien del equipo de Chrome. «La bandera PostQuantumKeyAgreementEnabled y la política empresarial se aplicarán tanto a Kyber como a ML-KEM». Se espera que los cambios entren en vigor en la versión 131 de Chrome, cuyo lanzamiento está previsto para principios de noviembre de 2024. Google señaló que los dos enfoques híbridos de intercambio de claves postcuánticas son esencialmente incompatibles entre sí, lo que lo impulsó a abandonar KYBER. «Los cambios en la versión final de ML-KEM la hacen incompatible con la versión previamente implementada de Kyber», dijo la compañía. «Como resultado, el punto de código en TLS para el intercambio de claves post-cuánticas híbridas está cambiando de 0x6399 para Kyber768+X25519, a 0x11EC para ML-KEM768+X25519». El desarrollo llega poco después de que el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) publicara las versiones finales de los tres nuevos algoritmos de cifrado para proteger los sistemas actuales contra futuros ataques utilizando tecnologías cuánticas, lo que marca la culminación de un esfuerzo de ocho años de la agencia. Los algoritmos en cuestión son FIPS 203 (también conocido como ML-KEM), FIPS 204 (también conocido como CRYSTALS-Dilithium o ML-DSA) y FIPS 205 (también conocido como Sphincs+ o SLH-DSA), que permiten el cifrado general y la protección de firmas digitales. Un cuarto algoritmo, FN-DSA (originalmente llamado FALCON), está previsto que se finalice a finales de este año. ML-KEM, abreviatura de Mecanismo de encapsulación de clave basado en red modular, se deriva de la versión de tercera ronda del KEM CRYSTALS-KYBER y se puede utilizar para establecer una clave secreta compartida entre dos partes que se comunican a través de un canal público. Microsoft, por su parte, también se está preparando para un mundo poscuántico al anunciar una actualización de su biblioteca criptográfica SymCrypt con soporte para ML-KEM y eXtended Merkle Signature Scheme (XMSS). «Añadir soporte de algoritmos poscuánticos al motor criptográfico subyacente es el primer paso hacia un mundo cuántico seguro», dijo el fabricante de Windows, afirmando que la transición a la criptografía poscuántica (PQC) es un «proceso complejo, de varios años e iterativo» que requiere una planificación cuidadosa. La revelación también sigue al descubrimiento de una falla criptográfica en los microcontroladores de seguridad Infineon SLE78, Optiga Trust M y Optiga TPM que podría permitir la extracción de claves privadas del Algoritmo de Firma Digital de Curva Elíptica (ECDSA) de los dispositivos de autenticación de hardware YubiKey. Se cree que la falla criptográfica dentro de la biblioteca proporcionada por Infineon ha pasado desapercibida durante 14 años y alrededor de 80 evaluaciones de certificación de Criterios Comunes de más alto nivel. El ataque de canal lateral, denominado EUCLEAK (CVE-2024-45678, puntuación CVSS: 4,9) por Thomas Roche de NinjaLab, afecta a todos los microcontroladores de seguridad de Infineon que incorporan la biblioteca criptográfica y los siguientes dispositivos YubiKey: YubiKey 5 Series versiones anteriores a 5.7 YubiKey 5 FIPS Series anteriores a 5.7 YubiKey 5 CSPN Series anteriores a 5.7 YubiKey Bio Series versiones anteriores a 5.7.2 Security Key Series todas las versiones anteriores a 5.7 YubiHSM 2 versiones anteriores a 2.4.0 YubiHSM 2 FIPS versiones anteriores a 2.4.0 «El atacante necesitaría posesión física de la YubiKey, Security Key o YubiHSM, conocimiento de las cuentas a las que quiere apuntar y equipo especializado para realizar el ataque necesario», dijo Yubico, la empresa detrás de YubiKey, en un aviso coordinado. «Dependiendo del caso de uso, el atacante también puede requerir conocimiento adicional, incluido el nombre de usuario, el PIN, la contraseña de la cuenta o [YubiHSM] clave de autenticación». Pero debido a que los dispositivos YubiKey existentes con versiones de firmware vulnerables no se pueden actualizar (una elección de diseño intencional destinada a maximizar la seguridad y evitar la introducción de nuevas vulnerabilidades), son permanentemente susceptibles a EUCLEAK. Desde entonces, la compañía ha anunciado planes para descontinuar el soporte para la biblioteca criptográfica de Infineon a favor de su propia biblioteca criptográfica como parte de las versiones de firmware YubiKey f5.7 y YubiHSM 2.4. Los hallazgos siguen a un ataque de canal lateral similar contra las claves de seguridad Google Titan que fue demostrado por Roche y Victor Lomne en 2021, lo que potencialmente permitió a los actores maliciosos clonar los dispositivos explotando un canal lateral electromagnético en el chip integrado en ellos. «El [EUCLEAK] «Para que un ataque pueda llevarse a cabo es necesario acceder físicamente al elemento seguro (bastan unas pocas adquisiciones electromagnéticas locales de canal lateral, es decir, unos pocos minutos) para extraer la clave secreta de ECDSA», explicó Roche. «En el caso del protocolo FIDO, esto permite crear un clon del dispositivo FIDO». ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

18 de septiembre de 2024Ravie LakshmananVirtualización / Seguridad de red Broadcom lanzó el martes actualizaciones para abordar una falla de seguridad crítica que afecta a VMware vCenter Server y que podría allanar el camino para la ejecución remota de código. La vulnerabilidad, identificada como CVE-2024-38812 (puntuación CVSS: 9,8), se ha descrito como una vulnerabilidad de desbordamiento de pila en el protocolo DCE/RPC. «Un actor malintencionado con acceso de red a vCenter Server puede desencadenar esta vulnerabilidad al enviar un paquete de red especialmente diseñado que podría provocar la ejecución remota de código», dijo el proveedor de servicios de virtualización en un boletín. La deficiencia es similar a otras dos fallas de ejecución de código remoto, CVE-2024-37079 y CVE-2024-37080 (puntaje CVSS: 9.8), que VMware resolvió en vCenter Server en junio de 2024. VMware también abordó una falla de escalada de privilegios en vCenter Server (CVE-2024-38813, puntaje CVSS: 7.5) que podría permitir que un actor malintencionado con acceso de red a la instancia escale privilegios a la raíz enviando un paquete de red especialmente diseñado. Los investigadores de seguridad zbl y srs del equipo TZL han sido acreditados por descubrir e informar las dos fallas durante la competencia de ciberseguridad Matrix Cup celebrada en China en junio de 2024. Se han corregido en las siguientes versiones: vCenter Server 8.0 (corregido en 8.0 U3b) vCenter Server 7.0 (corregido en 7.0 U3s) VMware Cloud Foundation 5.x (corregido en 8.0 U3b como un parche asincrónico) VMware Cloud Foundation 4.x (corregido en 7.0 U3s como un parche asincrónico) Broadcom dijo que no está al tanto de la explotación maliciosa de las dos vulnerabilidades, pero ha instado a los clientes a actualizar sus instalaciones a las últimas versiones para protegerse contra posibles amenazas. «Estas vulnerabilidades son problemas de administración de memoria y corrupción que se pueden usar contra los servicios de VMware vCenter, lo que potencialmente permite la ejecución remota de código», dijo la compañía. El desarrollo se produce luego de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y la Oficina Federal de Investigaciones (FBI) publicaran un aviso conjunto instando a las organizaciones a trabajar para eliminar las fallas de secuencias de comandos entre sitios (XSS) que los actores de amenazas podrían explotar para vulnerar los sistemas. «Las vulnerabilidades de secuencias de comandos entre sitios surgen cuando los fabricantes no logran validar, desinfectar o eludir adecuadamente las entradas», dijeron los organismos gubernamentales. «Estos fallos permiten a los actores de amenazas inyectar secuencias de comandos maliciosas en aplicaciones web, explotándolas para manipular, robar o hacer un mal uso de los datos en diferentes contextos». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

18 de septiembre de 2024Ravie LakshmananSeguridad móvil / Cifrado La Asociación GSM (GSMA), el organismo rector que supervisa el desarrollo del protocolo Rich Communications Services (RCS), dijo el martes que está trabajando para implementar el cifrado de extremo a extremo (E2EE) para proteger los mensajes enviados entre los ecosistemas Android e iOS. «El próximo gran hito es que el Perfil Universal RCS agregue importantes protecciones para el usuario, como el cifrado de extremo a extremo interoperable», dijo Tom Van Pelt, director técnico de GSMA. «Este será el primer despliegue de cifrado de mensajería estandarizado e interoperable entre diferentes plataformas informáticas, abordando desafíos técnicos importantes como la federación de claves y la membresía de grupo reforzada criptográficamente». El desarrollo se produce un día después de que Apple lanzara oficialmente iOS 18 con soporte para RCS en su aplicación Mensajes, que viene con funciones avanzadas como reacciones a los mensajes, indicaciones de escritura, confirmaciones de lectura y uso compartido de medios de alta calidad, entre otros. RCS, una mejora con respecto al estándar actual de SMS, actualmente no está cifrado de extremo a extremo de fábrica, lo que llevó a Google a implementar el protocolo Signal para proteger las conversaciones RCS en Android. A principios de este año, Apple dijo que trabajará con los miembros de GSMA para integrar el cifrado. Vale la pena señalar que el servicio iMessage patentado de la compañía está habilitado para E2EE. «Esperamos seguir colaborando en todo el ecosistema móvil para avanzar en el estándar RCS con cifrado de extremo a extremo interoperable para mantener todos los mensajes RCS privados y seguros», dijo Van Pelt. Google, en julio pasado, también reveló planes para integrar el protocolo Message Layer Security (MLS) en su aplicación Messages para Android con el fin de facilitar la interoperabilidad entre los servicios y plataformas de mensajería. Tan recientemente como este mes, Meta detalló su enfoque para permitir la interoperabilidad con servicios de mensajería de terceros en WhatsApp y Facebook Messenger como parte de sus esfuerzos por cumplir con la Ley de Mercados Digitales de la UE (DMA) al tiempo que mantiene las garantías E2EE «en la medida de lo posible». «Crear chats de terceros es un desafío técnico y preservar la privacidad y la seguridad es una responsabilidad compartida», afirmó la empresa de redes sociales. «Ya hemos avanzado mucho, pero todavía queda mucho por hacer». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

18 de septiembre de 2024Ravie LakshmananSeguridad del navegador / Privacidad Google ha anunciado que está implementando un nuevo conjunto de funciones en su navegador Chrome que brinda a los usuarios más control sobre sus datos cuando navegan por Internet y los protege contra amenazas en línea. «Con la versión más nueva de Chrome, puede aprovechar nuestro Safety Check actualizado, inhabilitar las notificaciones de sitios web no deseados con mayor facilidad y otorgar permisos seleccionados a un sitio solo por una vez», dijo el gigante tecnológico. Las mejoras en Safety Check le permiten ejecutarse automáticamente en segundo plano, notificando a los usuarios las acciones que ha tomado, como revocar permisos para sitios web que ya no visitan y marcar notificaciones potencialmente no deseadas. También está diseñado para notificar a los usuarios sobre problemas de seguridad que deben abordarse, al mismo tiempo que revoca automáticamente los permisos de notificación de sitios sospechosos identificados por Google Safe Browsing. «En la versión de escritorio, Safety Check seguirá notificándote si tienes extensiones de Chrome instaladas que puedan suponer un riesgo de seguridad para ti, y luego te llevará a la página de extensiones y mostrará un panel de resumen con controles rápidos para eliminarlas», dijo Andrew Kamau, gerente de producto de Chrome. Safety Check, además de ofrecer a los usuarios la opción de habilitar las protecciones de Google Safe Browsing, también es capaz de advertir si un nombre de usuario o contraseña almacenados en Google Password Manager estuvieron involucrados en una violación de datos, agregó la empresa de búsqueda y publicidad. Algunas de las otras actualizaciones clave incluyen la capacidad de cancelar la suscripción a las notificaciones de sitios web no deseados directamente en el cajón de notificaciones en los dispositivos Pixel y Android, así como otorgar permisos únicos para Chrome en Android y Desktop. «Con esta función, puedes elegir otorgar permisos seleccionados, como acceso a tu cámara o micrófono, a un sitio solo por una vez, lo que te ayuda a administrar mejor tu privacidad en línea», dijo Kamau. «Una vez que abandones el sitio, Chrome revocará los permisos. El sitio no podrá usar esos permisos hasta que los vuelvas a otorgar explícitamente». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

18 de septiembre de 2024Ravie LakshmananEspionaje cibernético / Malware Se ha observado que un grupo de espionaje cibernético vinculado a Corea del Norte aprovecha señuelos de phishing con temática laboral para apuntar a posibles víctimas en los sectores de la energía y la aeroespacial e infectarlas con una puerta trasera previamente no documentada denominada MISTPEN. El grupo de actividades está siendo rastreado por Mandiant, propiedad de Google, bajo el apodo UNC2970, que según dijo se superpone con un grupo de amenazas conocido como TEMP.Hermit, que también se llama ampliamente Lazarus Group o Diamond Sleet (anteriormente Zinc). El actor de amenazas tiene un historial de apuntar a instituciones gubernamentales, de defensa, de telecomunicaciones y financieras en todo el mundo desde al menos 2013 para recopilar inteligencia estratégica que promueva los intereses de Corea del Norte. Está afiliado a la Oficina General de Reconocimiento (RGB). La firma de inteligencia de amenazas dijo que ha observado que UNC2970 selecciona varias entidades ubicadas en los EE. UU., el Reino Unido, los Países Bajos, Chipre, Suecia, Alemania, Singapur, Hong Kong y Australia. «UNC2970 ataca a las víctimas bajo la apariencia de ofertas de trabajo, haciéndose pasar por un reclutador de empresas importantes», dijo en un nuevo análisis, agregando que copia y modifica las ofertas de trabajo legítimas de acuerdo con sus perfiles objetivo. «Además, las descripciones de trabajo elegidas apuntan a empleados de nivel superior/gerente. Esto sugiere que el actor de la amenaza tiene como objetivo obtener acceso a información sensible y confidencial que generalmente está restringida a los empleados de nivel superior». Las cadenas de ataque, también conocidas como Operation Dream Job, implican el uso de señuelos de phishing para interactuar con las víctimas por correo electrónico y WhatsApp en un intento de generar confianza, antes de enviarles un archivo ZIP malicioso disfrazado de descripción de trabajo. En un giro interesante, el archivo PDF de la descripción solo se puede abrir con una versión troyanizada de una aplicación legítima de lectura de PDF llamada Sumatra PDF incluida en el archivo para entregar MISTPEN por medio de un lanzador conocido como BURNBOOK. Vale la pena señalar que esto no implica un ataque a la cadena de suministro ni existe una vulnerabilidad en el software. Más bien, se ha descubierto que el ataque emplea una versión anterior de Sumatra PDF que se ha reutilizado para activar la cadena de infección. Este es un método probado y adoptado por el grupo de piratas informáticos desde 2022, y tanto Mandiant como Microsoft destacan el uso de una amplia gama de software de código abierto, incluidos PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF/Subliminal Recording para estos ataques. Se cree que los actores de la amenaza probablemente instruyen a las víctimas para que abran el archivo PDF utilizando el programa de visualización de PDF armado adjunto para activar la ejecución de un archivo DLL malicioso, un lanzador C/C++ llamado BURNBOOK. «Este archivo es un dropper para una DLL incrustada, ‘wtsapi32.dll’, que se rastrea como TEARPAGE y se utiliza para ejecutar la puerta trasera MISTPEN después de que se reinicia el sistema», dijeron los investigadores de Mandiant. «MISTPEN es una versión troyanizada de un complemento legítimo de Notepad++, binhex.dll, que contiene una puerta trasera». TEARPAGE, un cargador integrado en BURNBOOK, es responsable de descifrar y ejecutar MISTPEN. Un implante ligero escrito en C, MISTPEN está equipado para descargar y ejecutar archivos ejecutables portátiles (PE) recuperados de un servidor de comando y control (C2). Se comunica a través de HTTP con las siguientes URL de Microsoft Graph. Mandiant también dijo que descubrió artefactos BURNBOOK y MISTPEN más antiguos, lo que sugiere que se están mejorando iterativamente para agregar más capacidades y permitirles pasar desapercibidos. Las primeras muestras de MISTPEN también se han descubierto utilizando sitios web WordPress comprometidos como dominios C2. «El actor de amenazas ha mejorado su malware con el tiempo implementando nuevas funciones y añadiendo una comprobación de la conectividad de la red para dificultar el análisis de las muestras», afirmaron los investigadores. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

La evolución del software siempre nos toma por sorpresa. Recuerdo haber apostado contra la computadora IBM Deep Blue durante su partida de ajedrez contra el gran maestro Garry Kasparov en 1997, y quedarme atónito cuando la máquina se adjudicó la victoria. Si nos adelantamos hasta hoy, ¿habríamos imaginado hace apenas tres años que un chatbot podría escribir ensayos, gestionar llamadas de atención al cliente e incluso crear anuncios comerciales?