Etiqueta: noticias de hackers Página 4 de 44

Un ciudadano chino ha sido acusado en Estados Unidos de llevar a cabo una campaña de phishing «de varios años» para obtener acceso no autorizado a software informático y código fuente creado por la Administración Nacional de Aeronáutica y del Espacio (NASA), universidades de investigación y empresas privadas. Song Wu, de 39 años, ha sido acusado de 14 cargos de fraude electrónico y 14 cargos de robo de identidad agravado. Si es declarado culpable, se enfrenta a una pena máxima de 20 años de cárcel por cada cargo de fraude electrónico y a una pena consecutiva de dos años de prisión por robo de identidad agravado. Trabajaba como ingeniero en la Corporación de la Industria de Aviación de China (AVIC), un conglomerado aeroespacial y de defensa estatal chino fundado en 2008 y con sede en Pekín. Según la información que figura en el sitio web de AVIC, tiene «más de 100 filiales, casi 24 empresas que cotizan en bolsa y más de 400.000 empleados». En noviembre de 2020 y junio de 2021, la empresa y algunas de sus filiales fueron objeto de sanciones estadounidenses, que prohibían a los estadounidenses invertir en la empresa. Se dice que Song llevó a cabo una campaña de phishing que consistía en crear cuentas de correo electrónico para imitar a investigadores e ingenieros con sede en Estados Unidos, que luego se utilizaron para obtener software especializado restringido o propietario para ingeniería aeroespacial y dinámica de fluidos computacional. El software también podría usarse para aplicaciones industriales y militares, incluido el desarrollo de misiles tácticos avanzados y el diseño aerodinámico y la evaluación de armas. Estos correos electrónicos, según alegó el Departamento de Justicia de Estados Unidos (DoJ), se enviaron a empleados de la NASA, la Fuerza Aérea, la Marina y el Ejército de Estados Unidos y la Administración Federal de Aviación, así como a personas empleadas en importantes universidades de investigación en Georgia, Michigan, Massachusetts, Pensilvania, Indiana y Ohio. Los intentos de ingeniería social, que comenzaron alrededor de enero de 2017 y continuaron hasta diciembre de 2021, también apuntaron a empresas del sector privado que trabajan en el campo aeroespacial. Los mensajes fraudulentos supuestamente fueron enviados por un colega, socio, amigo u otras personas de la comunidad de investigación o ingeniería, solicitando a los posibles objetivos que envíen o pongan a disposición el código fuente o el software al que tenían acceso. El Departamento de Justicia no reveló el nombre del software ni el paradero actual del acusado. «Una vez más, el FBI y nuestros socios han demostrado que los cibercriminales de todo el mundo que buscan robar la información más sensible y valiosa de nuestras empresas pueden ser expuestos y serán responsabilizados», dijo Keri Farley, agente especial a cargo del FBI Atlanta. «Como lo demuestra esta acusación, el FBI está comprometido a buscar el arresto y el procesamiento de cualquiera que participe en prácticas ilegales y engañosas para robar información protegida». Coincidiendo con la acusación, el Departamento de Justicia también reveló una acusación separada contra el ciudadano chino Jia Wei, miembro del Ejército Popular de Liberación (EPL), por infiltrarse en una empresa de comunicaciones anónima con sede en EE. UU. en marzo de 2017 para robar información confidencial relacionada con dispositivos de comunicación civiles y militares, desarrollo de productos y planes de prueba. «Durante su acceso no autorizado, Wei y sus co-conspiradores intentaron instalar software malicioso diseñado para proporcionar acceso no autorizado persistente a la red de la empresa estadounidense», dijo el Departamento de Justicia. «El acceso no autorizado de Wei continuó hasta aproximadamente finales de mayo de 2017». El desarrollo se produce semanas después de que la Agencia Nacional contra el Crimen del Reino Unido (NCA) anunciara que tres hombres, Callum Picari, de 22 años; Vijayasidhurshan Vijayanathan, de 21 años; y Aza Siddeeque, de 19 años, se declararon culpables de administrar un sitio web que permitía a los ciberdelincuentes eludir los controles antifraude de los bancos y tomar el control de las cuentas bancarias. El servicio, llamado OTP.agency, permitía a los suscriptores mensuales realizar ingeniería social a los titulares de cuentas bancarias para que revelaran códigos de acceso genuinos de un solo uso o revelaran su información personal. Se dice que el servicio clandestino tuvo como objetivo a más de 12.500 miembros del público entre septiembre de 2019 y marzo de 2021, cuando fue retirado de la red después de que el trío fuera arrestado. Actualmente no se sabe cuántos ingresos ilegales generó la operación durante su existencia. «Un paquete básico que costaba £30 por semana permitía eludir la autenticación multifactor en plataformas como HSBC, Monzo y Lloyds para que los delincuentes pudieran completar transacciones fraudulentas en línea», dijo la NCA. «Un plan de élite costaba £380 por semana y otorgaba acceso a los sitios de verificación de Visa y Mastercard». ¿Te pareció interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los investigadores de ciberseguridad han descubierto una botnet nunca antes vista que comprende un ejército de dispositivos de IoT y de pequeñas oficinas/oficinas domésticas (SOHO) que probablemente estén operados por un actor de amenazas de un estado-nación chino llamado Flax Typhoon (también conocido como Ethereal Panda o RedJuliett). Se cree que la sofisticada botnet, bautizada Raptor Train por Black Lotus Labs de Lumen, ha estado operativa desde al menos mayo de 2020, alcanzando un pico de 60.000 dispositivos comprometidos activamente en junio de 2023. «Desde entonces, ha habido más de 200.000 enrutadores SOHO, dispositivos NVR/DVR, servidores de almacenamiento conectados a la red (NAS) y cámaras IP; todos reclutados en la botnet Raptor Train, lo que la convierte en una de las botnets de IoT patrocinadas por el estado chino más grandes descubiertas hasta la fecha», dijo la empresa de ciberseguridad en un informe de 81 páginas compartido con The Hacker News. Se estima que la infraestructura que impulsa la botnet ha atrapado a cientos de miles de dispositivos desde su formación, y la red está impulsada por una arquitectura de tres niveles que consta de lo siguiente: Nivel 1: dispositivos SOHO/IoT comprometidos Nivel 2: servidores de explotación, servidores de carga útil y servidores de comando y control (C2) Nivel 3: nodos de administración centralizados y una interfaz de aplicación Electron multiplataforma conocida como Sparrow (también conocida como Node Comprehensive Control Tool o NCCT) La forma en que funciona es que las tareas de bot se inician desde los nodos de administración de nivel 3 «Sparrow», que luego se enrutan a través de los servidores C2 de nivel 2 apropiados y, posteriormente, se envían a los propios bots en el nivel 1, que constituye una gran parte de la botnet. Algunos de los dispositivos atacados incluyen enrutadores, cámaras IP, DVR y NAS de varios fabricantes como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK y Zyxel. La mayoría de los nodos de nivel 1 han sido geolocalizados en EE. UU., Taiwán, Vietnam, Brasil, Hong Kong y Turquía. Cada uno de estos nodos tiene una vida útil promedio de 17,44 días, lo que indica la capacidad del actor de la amenaza para volver a infectar los dispositivos a voluntad. «En la mayoría de los casos, los operadores no incorporaron un mecanismo de persistencia que sobreviva a un reinicio», señaló Lumen. «La confianza en la reexplotabilidad proviene de la combinación de una amplia gama de exploits disponibles para una amplia gama de dispositivos SOHO e IoT vulnerables y una enorme cantidad de dispositivos vulnerables en Internet, lo que le da a Raptor Train una especie de persistencia ‘inherente'». Los nodos están infectados por un implante en memoria rastreado como Nosedive, una variante personalizada de la botnet Mirai, a través de servidores de carga útil de nivel 2 configurados explícitamente para este propósito. El binario ELF viene con capacidades para ejecutar comandos, cargar y descargar archivos y montar ataques DDoS. Los nodos de nivel 2, por otro lado, rotan aproximadamente cada 75 días y están ubicados principalmente en los EE. UU., Singapur, el Reino Unido, Japón y Corea del Sur. El número de nodos C2 ha aumentado de aproximadamente 1 a 5 entre 2020 y 2022 a no menos de 60 entre junio de 2024 y agosto de 2024. Estos nodos son flexibles en el sentido de que también actúan como servidores de explotación para cooptar nuevos dispositivos en la botnet, servidores de carga útil e incluso facilitar el reconocimiento de entidades objetivo. Al menos cuatro campañas diferentes se han vinculado a la botnet en constante evolución Raptor Train desde mediados de 2020, cada una de las cuales se distingue por los dominios raíz utilizados y los dispositivos atacados: Crossbill (de mayo de 2020 a abril de 2022): uso del dominio raíz C2 k3121.com y subdominios asociados Finch (de julio de 2022 a junio de 2023): uso del dominio raíz C2 b2047.com y subdominios C2 asociados Canary (de mayo de 2023 a agosto de 2023): uso del dominio raíz C2 b2047.com y subdominios C2 asociados, mientras se basa en cuentagotas de varias etapas Oriole (de junio de 2023 a septiembre de 2024): uso del dominio raíz C2 w8510.com y subdominios C2 asociados La campaña Canary, que tuvo como objetivo principal los módems ActionTec PK5000, las cámaras IP Hikvision, Los NVR de Shenzhen TVT y los enrutadores ASUS se destacan por emplear una cadena de infección de múltiples capas propia para descargar un script bash de primera etapa, que se conecta a un servidor de carga útil de nivel 2 para recuperar Nosedive y un script bash de segunda etapa. El nuevo script bash, a su vez, intenta descargar y ejecutar un script bash de tercera etapa desde el servidor de carga útil cada 60 minutos. «De hecho, el dominio C2 w8510.com para [the Oriole] «La campaña se volvió tan prominente entre los dispositivos IoT comprometidos que, para el 3 de junio de 2024, se incluyó en las clasificaciones de dominios de Cisco Umbrella», dijo Lumen. «Al menos el 7 de agosto de 2024, también se incluyó en el millón de dominios principales de Cloudflare Radar. Este es un hecho preocupante porque los dominios que están en estas listas de popularidad a menudo eluden las herramientas de seguridad a través de la lista blanca de dominios, lo que les permite crecer y mantener el acceso y evitar aún más la detección». Hasta la fecha no se han detectado ataques DDoS que emanen de la botnet, aunque la evidencia muestra que se ha utilizado como arma para atacar a entidades estadounidenses y taiwanesas en los sectores militar, gubernamental, de educación superior, de telecomunicaciones, de base industrial de defensa (DIB) y de tecnología de la información (TI). Es más, los bots enredados en Raptor Train probablemente hayan llevado a cabo posibles intentos de explotación contra servidores Atlassian Confluence y dispositivos Ivanti Connect Secure (ICS) en las mismas verticales, lo que sugiere esfuerzos de escaneo generalizados. Los vínculos con Flax Typhoon, un equipo de piratas informáticos con un historial de atacar a entidades en Taiwán, el sudeste asiático, América del Norte y África, provienen de superposiciones en la huella de victimología, el uso del idioma chino y otras similitudes tácticas. «Este es un sistema de control robusto de nivel empresarial que se utiliza para administrar más de 60 servidores C2 y sus nodos infectados en un momento dado», dijo Lumen. «Este servicio permite un conjunto completo de actividades, incluida la explotación escalable de bots, la gestión de vulnerabilidades y exploits, la gestión remota de la infraestructura C2, las cargas y descargas de archivos, la ejecución remota de comandos y la capacidad de adaptar los ataques distribuidos de denegación de servicio (DDoS) basados ​​en IoT a escala». El FBI desmantela la enorme botnet Flax Typhoon El Departamento de Justicia de Estados Unidos (DoJ) anunció el miércoles el desmantelamiento de la botnet Raptor Train de conformidad con una operación policial autorizada por el tribunal. También atribuyó el actor de la amenaza Flax Typhoon a una empresa que cotiza en bolsa y tiene su sede en Pekín conocida como Integrity Technology Group. «El malware conectó estos miles de dispositivos infectados a una botnet, controlada por Integrity Technology Group, que se utilizó para realizar una actividad cibernética maliciosa disfrazada de tráfico de Internet rutinario desde los dispositivos de consumo infectados», dijo el DoJ. Dispositivos de botnet por país La operación vio la infraestructura de los atacantes confiscada para emitir comandos de desactivación al malware en los dispositivos infectados, a pesar de los esfuerzos infructuosos realizados por los actores de la amenaza para interferir con la acción de remediación a través de un ataque DDoS dirigido a los servidores que la Oficina Federal de Investigaciones (FBI) estaba utilizando para ejecutar la orden judicial. «La empresa creó una aplicación en línea que permite a sus clientes iniciar sesión y controlar dispositivos de víctimas infectadas específicos, incluido un menú de comandos cibernéticos maliciosos utilizando una herramienta llamada ‘vulnerability-arsenal'», dijo el DoJ. «La aplicación en línea estaba etiquetada de forma destacada como ‘KRLab’, una de las principales marcas públicas utilizadas por Integrity Technology Group». La botnet constaba de más de 260.000 dispositivos en junio de 2024, con víctimas repartidas por América del Norte (135.300), Europa (65.600), Asia (50.400), África (9.200), Oceanía (2.400) y América del Sur (800). En total, se han identificado más de 1,2 millones de registros de dispositivos comprometidos en una base de datos MySQL alojada en un servidor de gestión de nivel 3 utilizado para administrar y controlar la botnet y los servidores C2 mediante la aplicación Sparrow. Sparrow también contiene un módulo para explotar redes informáticas a través de un arsenal de fallos conocidos y de día cero. Las botnets como KV-Botnet y Raptor Train son proxies ideales, ya que los actores de amenazas pueden abusar de ellas para ocultar sus identidades mientras organizan ataques DDoS o comprometen redes específicas. También tienden a evadir las defensas de seguridad de la red, dado que la actividad maliciosa se origina en direcciones IP con buena reputación. «El gobierno chino seguirá apuntando a sus organizaciones y nuestra infraestructura crítica, ya sea por su propia mano o de forma oculta a través de sus proxies», dijo el director del FBI, Christopher Wray, llamando a Integrity Technology Group por llevar a cabo la recopilación de inteligencia y el reconocimiento para las agencias de seguridad del gobierno chino. «Finalmente, como parte de esta operación, pudimos identificar miles de dispositivos infectados y, luego, con autorización judicial, emitimos órdenes para eliminar el malware de ellos, arrancándolos del control de China». (La historia se actualizó después de la publicación para incluir detalles de la eliminación respaldada por las fuerzas de seguridad). ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

23 de septiembre de 2024Ravie LakshmananEncriptación / Protección de datos La popular plataforma de mensajería social Discord ha anunciado que está implementando un nuevo protocolo personalizado de encriptación de extremo a extremo (E2EE) para proteger las llamadas de audio y video. El protocolo se ha denominado DAVE, abreviatura de encriptación de extremo a extremo de audio y video de Discord («E2EE A/V»). Como parte del cambio introducido la semana pasada, se espera que la voz y el video en mensajes directos, mensajes directos grupales, canales de voz y transmisiones en vivo se migren para usar DAVE. Dicho esto, vale la pena señalar que los mensajes en Discord permanecerán sin encriptar y están sujetos a su enfoque de moderación de contenido. «Cuando consideramos agregar nuevas funciones de privacidad como E2EE A/V, no lo hacemos de manera aislada de la seguridad», dijo Discord. «Es por eso que la seguridad está integrada en nuestro producto y políticas, y por eso los mensajes en Discord no están encriptados». «Los mensajes seguirán estando sujetos a nuestro enfoque de moderación de contenido, lo que nos permitirá seguir ofreciendo protecciones de seguridad adicionales». DAVE es auditable públicamente y ha sido revisado por Trail of Bits, y el protocolo aprovecha las transformaciones codificadas de WebRTC y Message Layer Security (MLS) para el cifrado y el intercambio de claves grupales (GKE), respectivamente. Esto permite que los marcos de medios, fuera de los metadatos del códec, se cifren después de codificarse y descifrarse antes de decodificarse en el lado del receptor. «Cada marco se cifra o descifra con una clave simétrica por remitente», dijo Discord. «Esta clave es conocida por todos los participantes de la sesión de audio y video, pero es crucial que sea desconocida para cualquier persona externa que no sea miembro de la llamada, incluido Discord». El uso de MLS, por otro lado, hace posible que los usuarios se unan o abandonen una sesión de voz o video en Discord de tal manera que ni los nuevos participantes puedan descifrar los medios enviados antes de unirse ni los miembros que abandonan puedan descifrar cualquier medio enviado en el futuro. «Se mantiene el cifrado de transporte existente de Discord para audio y video entre el cliente y nuestra unidad de reenvío selectivo (SFU), lo que garantiza que solo se reenvíe el audio y el video de los participantes de la llamada autenticados», señaló. «Si bien la SFU aún procesa todos los paquetes de la llamada, los datos de audio o video dentro de cada paquete están cifrados de extremo a extremo y la SFU no puede descifrarlos». El desarrollo se produce días después de que la Asociación GSM (GSMA), el organismo rector que supervisa el desarrollo del protocolo Rich Communications Services (RCS), dijera que está trabajando para implementar E2EE para proteger los mensajes enviados entre los ecosistemas Android e iOS. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

23 de septiembre de 2024The Hacker NewsGestión de contraseñas / Violación de datos Restablecer contraseñas puede ser frustrante para los usuarios finales. A nadie le gusta que lo interrumpa la notificación de «es hora de cambiar su contraseña», y menos aún cuando las nuevas contraseñas que crean son rechazadas por la política de contraseñas de su organización. Los equipos de TI comparten el dolor, ya que restablecer contraseñas a través de tickets de soporte técnico y llamadas de soporte es una carga diaria. A pesar de esto, se acepta comúnmente que todas las contraseñas deben caducar después de un período de tiempo establecido. ¿Por qué es este el caso? ¿Necesita caducidad de contraseñas? Explore la razón por la que existen las caducidad y por qué configurar las contraseñas para que «nunca caduquen» puede ahorrar algunos dolores de cabeza, pero no ser la mejor idea para la ciberseguridad. ¿Por qué tenemos caducidad de contraseñas? La política tradicional de restablecimiento de contraseñas de 90 días surge de la necesidad de protegerse contra ataques de fuerza bruta. Las organizaciones suelen almacenar las contraseñas como hashes, que son versiones codificadas de las contraseñas reales creadas mediante funciones hash criptográficas (CHF). Cuando un usuario introduce su contraseña, se codifica y se compara con el hash almacenado. Los atacantes que intentan descifrar estas contraseñas deben adivinar la correcta ejecutando las contraseñas potenciales a través del mismo algoritmo hash y comparando los resultados. El proceso puede complicarse aún más para los atacantes mediante técnicas como el salting, donde se añaden cadenas aleatorias a las contraseñas antes de codificarlas. Los ataques de fuerza bruta dependen de varios factores, incluida la potencia computacional disponible para el atacante y la solidez de la contraseña. El período de restablecimiento de 90 días se consideró un enfoque equilibrado para superar los ataques de fuerza bruta sin cargar a los usuarios con cambios demasiado frecuentes. Sin embargo, los avances en la tecnología han reducido el tiempo necesario para descifrar contraseñas, lo que provocó una reevaluación de esta política. A pesar de esto, el vencimiento de 90 días sigue siendo una recomendación en muchas normas de cumplimiento, incluida la PCI. ¿Por qué algunas organizaciones se han deshecho de los vencimientos? Uno de los principales argumentos en contra de la caducidad regular de las contraseñas es que puede llevar a la reutilización de contraseñas débiles. Los usuarios a menudo realizan pequeños cambios en sus contraseñas existentes, como cambiar «Contraseña1!» por «Contraseña2!». Esta práctica socava los beneficios de seguridad de los cambios de contraseña. Sin embargo, el verdadero problema aquí no es el acto de restablecer las contraseñas, sino más bien la política de la organización que permite contraseñas débiles en primer lugar. La principal razón por la que las organizaciones han optado por contraseñas «nunca caducan» es reducir la carga de TI y de la mesa de ayuda. El costo y la carga de los restablecimientos de contraseñas en las mesas de ayuda de TI son significativos. Gartner estima que entre el 20 y el 50 % de las llamadas a la mesa de ayuda de TI están relacionadas con el restablecimiento de contraseñas, y que cada restablecimiento cuesta alrededor de $70 en mano de obra según Forrester. Esto suma, especialmente cuando los usuarios olvidan con frecuencia sus contraseñas después de verse obligados a crear otras nuevas. Por lo tanto, algunas organizaciones pueden verse tentadas a obligar a los usuarios finales a crear una contraseña muy segura y luego configurar las contraseñas para que «nunca caduquen» para reducir la carga de TI y los costos de restablecimiento. ¿Cuáles son los riesgos de las contraseñas que «nunca caducan»? Tener una contraseña segura y no cambiarla nunca puede dar a alguien una falsa sensación de seguridad. Una contraseña segura no es inmune a las amenazas; puede ser vulnerable a esquemas de phishing, violaciones de datos u otros tipos de incidentes cibernéticos sin que el usuario se dé cuenta. El informe Specops Breached Password Report descubrió que el 83% de las contraseñas que se vieron comprometidas cumplían con los estándares regulatorios de longitud y complejidad. Una organización puede tener una política de contraseñas seguras donde cada usuario final se ve obligado a crear una contraseña segura que sea resistente a ataques de fuerza bruta. Pero, ¿qué sucede si el empleado decide reutilizar su contraseña para Facebook, Netflix y todas las demás aplicaciones personales también? El riesgo de que la contraseña se vea comprometida aumenta mucho, independientemente de las medidas de seguridad internas que tenga implementadas la organización. Una encuesta de LastPass descubrió que el 91% de los usuarios finales comprendían el riesgo de la reutilización de contraseñas, pero el 59% lo hizo de todos modos. Otro riesgo de las contraseñas que «nunca caducan» es que un atacante podría usar un conjunto de credenciales comprometidas durante un largo período de tiempo. El Instituto Ponemon descubrió que, por lo general, una organización tarda unos 207 días en identificar una infracción. Si bien imponer la caducidad de las contraseñas podría ser beneficioso en este caso, es probable que un atacante ya haya logrado sus objetivos cuando caduque la contraseña. En consecuencia, el NIST y otras directrices recomiendan a las organizaciones que solo establezcan contraseñas que nunca caduquen si tienen mecanismos para identificar las cuentas comprometidas. Cómo detectar contraseñas comprometidas Las organizaciones deben adoptar una estrategia integral de contraseñas que vaya más allá de la caducidad regular. Esto incluye orientar a los usuarios para que creen frases de contraseña seguras de al menos 15 caracteres. Una política de este tipo puede reducir significativamente la vulnerabilidad a los ataques de fuerza bruta. También se puede alentar a los usuarios finales a crear contraseñas más largas a través del envejecimiento basado en la longitud, donde se permite usar contraseñas más largas y seguras durante períodos prolongados antes de que caduquen. Este enfoque elimina la necesidad de un tiempo de caducidad único para todos, siempre que los usuarios se adhieran a la política de contraseñas de la organización. Imagen que muestra la creación de contraseñas más seguras y el envejecimiento basado en la longitud Sin embargo, incluso las contraseñas seguras pueden verse comprometidas y es necesario implementar medidas para detectarlo. Una vez comprometidas, el tiempo de descifrado de una contraseña en la parte inferior derecha de la tabla anterior pasa a ser «instantáneamente». Las organizaciones necesitan una estrategia unificada para asegurarse de que se están protegiendo tanto de las contraseñas débiles como de las comprometidas. Si está interesado en administrar todo lo anterior de manera automatizada desde una interfaz fácil de usar dentro de Active Directory, Specops Password Policy podría ser una herramienta valiosa en su arsenal de ciberseguridad. A través de su servicio Breached Password Protection, Specops Password Policy puede verificar y bloquear continuamente el uso de más de 4 mil millones de contraseñas únicas comprometidas conocidas. Compruébelo usted mismo con una demostración en vivo. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

23 de septiembre de 2024Ravie LakshmananCiberseguridad / Amenaza cibernética ¡Agárrense fuerte, amigos, porque el panorama de la ciberseguridad de la semana pasada fue una montaña rusa! Fuimos testigos de todo, desde piratas informáticos norcoreanos que ofrecían «trabajos de ensueño» para exponer un nuevo malware, hasta un giro sorprendente en la saga Apple vs. NSO Group. Incluso el mundo aparentemente mundano de los nombres de dominio y las configuraciones de la nube tuvo su cuota de drama. Profundicemos en los detalles y veamos qué lecciones podemos extraer de la semana pasada. ⚡ Amenaza de la semana Desmantelada la botnet Raptor Train: el gobierno de EE. UU. anunció el desmantelamiento de la botnet Raptor Train controlada por un actor de amenazas vinculado a China conocido como Flax Typhoon. La botnet constaba de más de 260.000 dispositivos en junio de 2024, con víctimas repartidas por América del Norte, Europa, Asia, África, Oceanía y América del Sur. También atribuyó el actor de la amenaza Flax Typhoon a una empresa que cotiza en bolsa, con sede en Beijing, conocida como Integrity Technology Group. 🔔 Noticias principales El nuevo malware de Lazarus Group: se ha observado que el grupo de ciberespionaje vinculado a Corea del Norte conocido como UNC2970 (también conocido como TEMP.Hermit) utiliza señuelos de phishing con temática laboral para apuntar a posibles víctimas en los sectores verticales de energía y aeroespacial e infectarlos con una puerta trasera previamente no documentada denominada MISTPEN. La actividad también se rastrea como Operation Dream Job. iServer y Ghost desmantelados: en otra gran victoria para las agencias de aplicación de la ley, Europol anunció el desmantelamiento de una red criminal internacional que aprovechaba una plataforma de phishing para desbloquear teléfonos móviles robados o perdidos. La agencia, en asociación con la Policía Federal Australiana (AFP), desmanteló una red de comunicaciones cifradas llamada Ghost que permitía el crimen grave y organizado en todo el mundo. APT iraní actúa como proveedor de acceso inicial: un actor de amenazas iraní rastreado como UNC1860 está actuando como un facilitador de acceso inicial que proporciona acceso remoto a redes objetivo mediante la implementación de varias puertas traseras pasivas. Este acceso luego es aprovechado por otros grupos de piratas informáticos iraníes afiliados al Ministerio de Inteligencia y Seguridad (MOIS). Apple retira la demanda contra NSO Group: Apple presentó una moción para desestimar «voluntariamente» la demanda que está presentando contra el proveedor israelí de software espía comercial NSO Group, citando un panorama de riesgos cambiante que podría llevar a la exposición de información crítica de «inteligencia de amenazas». La demanda se presentó en noviembre de 2021. Los ataques de phishing explotan los encabezados HTTP: una nueva ola de ataques de phishing está abusando de las entradas de actualización en los encabezados HTTP para entregar páginas de inicio de sesión de correo electrónico falsificadas que están diseñadas para recopilar las credenciales de los usuarios. Los objetivos de las campañas incluyen entidades en Corea del Sur y los EE. UU. 📰 Alrededor del mundo cibernético Sandvine abandona 56 países «no democráticos»: Sandvine, la compañía detrás de los middleboxes que han facilitado la entrega de software espía comercial como parte de ataques altamente selectivos, dijo que ha salido de 32 países y está en proceso de cesar sus operaciones en otros 24 países, citando amenazas elevadas a los derechos digitales. A principios de febrero, la compañía fue agregada a la Lista de entidades de EE. UU. «El uso indebido de la tecnología de inspección profunda de paquetes es un problema internacional que amenaza las elecciones libres y justas, los derechos humanos básicos y otras libertades digitales que creemos que son inalienables», dijo. No reveló la lista de países de los que está saliendo como parte de la revisión. Dominio .mobi adquirido por $ 20: Los investigadores de watchTowr Labs gastaron solo $ 20 para adquirir un dominio de servidor WHOIS heredado asociado con el dominio de nivel superior (TLD) .mobi y configurar un servidor WHOIS en ese dominio. Esto llevó al descubrimiento de que más de 135.000 sistemas únicos todavía consultaban el antiguo servidor WHOIS durante un período de cinco días que finalizó el 4 de septiembre de 2024, incluidas herramientas de ciberseguridad y servidores de correo para entidades gubernamentales, militares y universitarias. La investigación también mostró que el proceso TLS/SSL para todo el TLD .mobi se había visto socavado, ya que se descubrió que numerosas autoridades de certificación (CA) seguían utilizando el servidor WHOIS «falso» para «determinar los propietarios de un dominio y dónde se deben enviar los detalles de verificación». Desde entonces, Google ha pedido que se detenga el uso de datos WHOIS para verificaciones de dominios TLS. Las configuraciones incorrectas de ServiceNow filtran datos confidenciales: miles de empresas están exponiendo inadvertidamente secretos de los artículos de su base de conocimiento (KB) interna a través de configuraciones incorrectas de ServiceNow. AppOmni atribuyó el problema a «configuraciones obsoletas y controles de acceso mal configurados en las KB», lo que probablemente indica «un malentendido sistemático de los controles de acceso a la KB o posiblemente la replicación accidental de al menos los controles deficientes de una instancia a otra a través de la clonación». ServiceNow ha publicado una guía sobre cómo configurar sus instancias para evitar el acceso no autenticado a los artículos de la base de conocimientos. Fallo de Google Cloud Document AI corregido: hablando de configuraciones erróneas, los investigadores han descubierto que los actores de amenazas podrían aprovechar las configuraciones demasiado permisivas en el servicio Document AI de Google Cloud para piratear los depósitos de Cloud Storage y robar información confidencial. Vectra AI describió la vulnerabilidad como un caso de abuso de acceso transitivo. Microsoft planea poner fin al acceso al kernel para el software EDR: tras las consecuencias masivas del percance de la actualización de CrowdStrike en julio de 2024, Microsoft ha destacado la «postura de seguridad mejorada y los valores predeterminados de seguridad» de Windows 11 que permiten más capacidades de seguridad a los fabricantes de software de seguridad fuera del acceso en modo kernel. También dijo que colaborará con los socios del ecosistema para lograr «una mayor confiabilidad sin sacrificar la seguridad». 🔥 Recursos y perspectivas de ciberseguridad: próximos seminarios web Confianza cero: Armadura antiransomware: Únase a nuestro próximo seminario web con Emily Laufer de Zscaler para profundizar en el Informe sobre ransomware de 2024, descubrir las últimas tendencias, amenazas emergentes y las estrategias de confianza cero que pueden proteger su organización. No se convierta en otra estadística: ¡regístrese ahora y defiéndase! Reinicio de SIEM: de sobrecarga a supervisión: ¿ahogándose en datos? Su SIEM debería ser un salvavidas, no otro dolor de cabeza. Únase a nosotros para descubrir cómo salió mal el SIEM heredado y cómo un enfoque moderno puede simplificar la seguridad sin sacrificar el rendimiento. Nos sumergiremos en los orígenes de SIEM, sus desafíos actuales y nuestras soluciones impulsadas por la comunidad para eliminar el ruido y potenciar su seguridad. ¡Regístrese ahora para obtener una nueva visión de SIEM! — Pregúntele al experto P: ¿En qué se diferencia fundamentalmente Zero Trust de la defensa perimetral tradicional y cuáles son los desafíos y ventajas clave al realizar la transición de una organización de un modelo de defensa perimetral a una arquitectura de confianza cero? R: Zero Trust y la defensa perimetral son dos formas de proteger los sistemas informáticos. Zero Trust es como tener varias cerraduras en las puertas Y comprobar las identificaciones en cada habitación, lo que significa que no confía en nadie y verifica constantemente a todos y todo lo que intenta acceder a algo. Es excelente para detener a los piratas informáticos, incluso si logran colarse, y funciona bien cuando las personas trabajan desde diferentes lugares o utilizan servicios en la nube. La defensa perimetral es como tener una muralla fuerte alrededor de su castillo, que se centra en mantener a los malos fuera. Pero, si alguien la atraviesa, tiene fácil acceso a todo lo que hay dentro. Este enfoque más antiguo tiene dificultades con las amenazas actuales y las situaciones de trabajo remoto. Cambiar a Zero Trust es como actualizar su sistema de seguridad, pero lleva tiempo y dinero. Vale la pena porque proporciona una protección mucho mejor. Recuerde, no es solo una cosa, sino una forma completamente nueva de pensar en la seguridad, y puede comenzar de a poco y avanzar con el tiempo. Además, no descarte la muralla por completo, sigue siendo útil para la protección básica. — Cybersecurity Jargon Buster Polymorphic Malware: Imagine un virus escurridizo que cambia constantemente su disfraz (firma) para engañar a su antivirus. Es como un camaleón, lo que lo hace difícil de atrapar. Metamorphic Malware: ¡Este es aún más complicado! Es como un cambiaformas, no solo cambia de ropa, sino que transforma completamente su cuerpo. Reescribe su propio código cada vez que infecta, lo que hace que sea casi imposible para el antivirus reconocerlo. — Consejo de la semana «Piense antes de hacer clic» Laberinto: navegue por una serie de puntos de decisión basados ​​en escenarios del mundo real, eligiendo la opción más segura para evitar trampas de phishing y otras amenazas en línea. Conclusión «Errar es humano; perdonar, divino». – Alexander Pope. Pero en el ámbito de la ciberseguridad, el perdón puede ser costoso. Aprendamos de estos errores, fortalezcamos nuestras defensas y mantengamos el mundo digital como un lugar más seguro para todos. ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

23 de septiembre de 2024Ravie LakshmananSeguridad de IoT / Vulnerabilidad Se ha revelado una falla de seguridad crítica en el marco de software avanzado (ASF) de Microchip que, si se explota con éxito, podría provocar la ejecución remota de código. La vulnerabilidad, identificada como CVE-2024-7490, tiene una puntuación CVSS de 9,5 sobre un máximo de 10,0. Se ha descrito como una vulnerabilidad de desbordamiento basada en pila en la implementación del servidor tinydhcp de ASF que se debe a la falta de una validación de entrada adecuada. «Existe una vulnerabilidad en todos los ejemplos disponibles públicamente de la base de código de ASF que permite que una solicitud DHCP especialmente diseñada provoque un desbordamiento basado en pila que podría provocar la ejecución remota de código», dijo el Centro de Coordinación CERT (CERT/CC) en un aviso. Dado que el software ya no tiene soporte y está basado en código centrado en IoT, CERT/CC ha advertido de que es «probable que la vulnerabilidad surja en muchos lugares». El problema afecta a ASF 3.52.0.2574 y a todas las versiones anteriores del software, y la agencia también señala que es probable que varias bifurcaciones del software tinydhcp también sean susceptibles a la falla. Actualmente no hay correcciones ni mitigaciones para abordar CVE-2024-7490, salvo reemplazar el servicio tinydhcp con otro que no tenga el mismo problema. El desarrollo se produce después de que SonicWall Capture Labs detallara una grave vulnerabilidad de clic cero que afecta a los conjuntos de chips Wi-Fi de MediaTek (CVE-2024-20017, CVSS 9.8) que podría abrir la puerta a la ejecución remota de código sin requerir ninguna interacción del usuario debido a un problema de escritura fuera de límites. «Las versiones afectadas incluyen las versiones 7.4.0.1 y anteriores del SDK de MediaTek, así como OpenWrt 19.07 y 21.02», dijo la compañía. «Esto se traduce en una gran variedad de dispositivos vulnerables, incluidos enrutadores y teléfonos inteligentes». «La vulnerabilidad es un desbordamiento de búfer como resultado de un valor de longitud tomado directamente de los datos del paquete controlado por el atacante sin verificación de límites y colocado en una copia de memoria. Este desbordamiento de búfer crea una escritura fuera de los límites». MediaTek publicó un parche para la vulnerabilidad en marzo de 2024, aunque la probabilidad de explotación ha aumentado con la disponibilidad pública de un exploit de prueba de concepto (PoC) a partir del 30 de agosto de 2024. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

23 de septiembre de 2024Ravie LakshmananSeguridad de software / Cadena de suministro Se ha observado que actores de amenazas con vínculos con Corea del Norte utilizan paquetes de Python envenenados como una forma de distribuir un nuevo malware llamado PondRAT como parte de una campaña en curso. PondRAT, según los nuevos hallazgos de la Unidad 42 de Palo Alto Networks, se considera una versión más ligera de POOLRAT (también conocido como SIMPLESEA), una puerta trasera de macOS conocida que se ha atribuido anteriormente al Grupo Lazarus y se implementó en ataques relacionados con el compromiso de la cadena de suministro de 3CX el año pasado. Algunos de estos ataques son parte de una campaña de ciberataque persistente denominada Operación Dream Job, en la que se atrae a los posibles objetivos con tentadoras ofertas de trabajo en un intento de engañarlos para que descarguen malware. «Los atacantes detrás de esta campaña cargaron varios paquetes de Python envenenados en PyPI, un repositorio popular de paquetes de Python de código abierto», dijo el investigador de la Unidad 42 Yoav Zemah, vinculando la actividad con moderada confianza a un actor de amenazas llamado Gleaming Pisces. El adversario también es rastreado por la comunidad de ciberseguridad más amplia bajo los nombres Citrine Sleet, Labyrinth Chollima, Nickel Academy y UNC4736, un subgrupo dentro del Grupo Lazarus que también es conocido por distribuir el malware AppleJeus. Se cree que el objetivo final de los ataques es «asegurar el acceso a los proveedores de la cadena de suministro a través de los puntos finales de los desarrolladores y, posteriormente, obtener acceso a los puntos finales de los clientes de los proveedores, como se observó en incidentes anteriores». La lista de paquetes maliciosos, ahora eliminados del repositorio PyPI, se encuentra a continuación: La cadena de infección es bastante simple en el sentido de que los paquetes, una vez descargados e instalados en los sistemas de los desarrolladores, están diseñados para ejecutar una siguiente etapa codificada que, a su vez, ejecuta las versiones de Linux y macOS del malware RAT después de recuperarlas de un servidor remoto. Un análisis más detallado de PondRAT ha revelado similitudes con POOLRAT y AppleJeus, y los ataques también distribuyen nuevas variantes de Linux de POOLRAT. «Las versiones de Linux y macOS [of POOLRAT] «Utilizan una estructura de funciones idéntica para cargar sus configuraciones, con nombres de métodos y funcionalidades similares», dijo Zemah. «Además, los nombres de los métodos en ambas variantes son sorprendentemente similares y las cadenas son casi idénticas. Por último, el mecanismo que maneja los comandos desde el [command-and-control server] es casi idéntico». PondRAT, una versión más sencilla de POOLRAT, viene con capacidades para cargar y descargar archivos, pausar operaciones durante un intervalo de tiempo predefinido y ejecutar comandos arbitrarios. «La evidencia de variantes Linux adicionales de POOLRAT mostró que Gleaming Pisces ha estado mejorando sus capacidades en las plataformas Linux y macOS», dijo Unit 42. «La utilización de paquetes Python de apariencia legítima como arma en múltiples sistemas operativos representa un riesgo significativo para las organizaciones. La instalación exitosa de paquetes maliciosos de terceros puede resultar en una infección de malware que compromete una red completa». La revelación se produce cuando KnowBe4, que fue engañada para contratar a un actor de amenazas norcoreano como empleado, dijo que más de una docena de empresas «contrataron a empleados norcoreanos o habían sido asediadas por una multitud de currículums y solicitudes falsos enviados por norcoreanos con la esperanza de conseguir un trabajo en su organización». Describió la actividad, rastreada por CrowdStrike bajo el apodo de Famous Chollima, como una «operación compleja, industrial y a gran escala de un estado-nación» y que representa un «riesgo grave para cualquier empresa con empleados que solo trabajan a distancia». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

23 de septiembre de 2024Ravie LakshmananEspionaje cibernético/malware Una supuesta amenaza persistente avanzada (APT) originada en China atacó a una organización gubernamental en Taiwán, y posiblemente a otros países de la región Asia-Pacífico (APAC), al explotar una falla de seguridad crítica recientemente parcheada que afectaba a OSGeo GeoServer GeoTools. La actividad de intrusión, que fue detectada por Trend Micro en julio de 2024, se ha atribuido a un actor de amenazas denominado Earth Baxia. «Según los correos electrónicos de phishing recopilados, los documentos señuelo y las observaciones de los incidentes, parece que los objetivos son principalmente agencias gubernamentales, empresas de telecomunicaciones y la industria energética en Filipinas, Corea del Sur, Vietnam, Taiwán y Tailandia», dijeron los investigadores Ted Lee, Cyris Tseng, Pierre Lee, Sunny Lu y Philip Chen. El descubrimiento de documentos señuelo en chino simplificado apunta a que China también es uno de los países afectados, aunque la empresa de ciberseguridad dijo que no tiene suficiente información para determinar qué sectores dentro del país han sido señalados. El proceso de cadena de infección de múltiples etapas aprovecha dos técnicas diferentes, utilizando correos electrónicos de phishing y la explotación de la falla GeoServer (CVE-2024-36401, puntuación CVSS: 9.8), para finalmente entregar Cobalt Strike y una puerta trasera previamente desconocida con nombre en código EAGLEDOOR, que permite la recopilación de información y la entrega de carga útil. «El actor de amenazas emplea la inyección GrimResource y AppDomainManager para implementar cargas útiles adicionales, con el objetivo de bajar la guardia de la víctima», señalaron los investigadores, agregando que el primer método se utiliza para descargar malware de siguiente etapa a través de un archivo MSC señuelo denominado RIPCOY incrustado dentro de un archivo adjunto ZIP. Cabe mencionar aquí que la empresa japonesa de ciberseguridad NTT Security Holdings detalló recientemente un grupo de actividades con vínculos a APT41 que, según dijo, utilizó las mismas dos técnicas para atacar a Taiwán, el ejército de Filipinas y organizaciones energéticas vietnamitas. Es probable que estos dos conjuntos de intrusiones estén relacionados, dado el uso superpuesto de los dominios de comando y control (C2) de Cobalt Strike que imitan a Amazon Web Services, Microsoft Azure (por ejemplo, «s3cloud-azure», «s2cloud-amazon», «s3bucket-azure» y «s3cloud-azure») y el propio Trend Micro («trendmicrotech»). El objetivo final de los ataques es implementar una variante personalizada de Cobalt Strike, que actúa como plataforma de lanzamiento para la puerta trasera EAGLEDOOR («Eagle.dll») a través de la carga lateral de DLL. El malware admite cuatro métodos para comunicarse con el servidor C2 a través de DNS, HTTP, TCP y Telegram. Si bien los tres primeros protocolos se utilizan para transmitir el estado de la víctima, la funcionalidad principal se realiza a través de la API de Telegram Bot para cargar y descargar archivos y ejecutar cargas útiles adicionales. Los datos recopilados se exfiltran a través de curl.exe. «Earth Baxia, probablemente con sede en China, llevó a cabo una sofisticada campaña dirigida a los sectores gubernamentales y energéticos en varios países de APAC», señalaron los investigadores. «Utilizaron técnicas avanzadas como la explotación de GeoServer, el phishing selectivo y el malware personalizado (Cobalt Strike y EAGLEDOOR) para infiltrarse y exfiltrar datos. El uso de servicios de nube pública para alojar archivos maliciosos y el soporte multiprotocolo de EAGLEDOOR resaltan la complejidad y adaptabilidad de sus operaciones». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

19 de septiembre de 2024Ravie LakshmananSeguridad empresarial / DevOps GitLab ha publicado parches para solucionar una falla crítica que afecta a Community Edition (CE) y Enterprise Edition (EE) que podría resultar en una omisión de autenticación. La vulnerabilidad tiene su raíz en la biblioteca ruby-saml (CVE-2024-45409, puntuación CVSS: 10.0), que podría permitir que un atacante inicie sesión como un usuario arbitrario dentro del sistema vulnerable. Los mantenedores la solucionaron la semana pasada. El problema es el resultado de que la biblioteca no verifica correctamente la firma de la respuesta SAML. SAML, abreviatura de Security Assertion Markup Language, es un protocolo que permite el inicio de sesión único (SSO) y el intercambio de datos de autenticación y autorización entre múltiples aplicaciones y sitios web. «Un atacante no autenticado con acceso a cualquier documento SAML firmado (por el IdP) puede así falsificar una Respuesta/Afirmación SAML con contenido arbitrario, según un aviso de seguridad. «Esto permitiría al atacante iniciar sesión como un usuario arbitrario dentro del sistema vulnerable». Vale la pena señalar que la falla también afecta a omniauth-saml, que envió una actualización propia (versión 2.2.1) para actualizar ruby-saml a la versión 1.17. El último parche de GitLab está diseñado para actualizar las dependencias omniauth-saml a la versión 2.2.1 y ruby-saml a la 1.17.0. Esto incluye las versiones 17.3.3, 17.2.7, 17.1.8, 17.0.8 y 16.11.10. Como mitigación, GitLab insta a los usuarios de instalaciones autogestionadas a habilitar la autenticación de dos factores (2FA) para todas las cuentas y deshabilitar la autenticación de dos factores (2FA) para todas las cuentas. La opción de omisión de dos factores de SAML. GitLab no menciona que la falla se esté explotando en la naturaleza, pero ha proporcionado indicadores de intentos de explotación o explotación exitosa, lo que sugiere que los actores de amenazas pueden estar tratando activamente de capitalizar las deficiencias para obtener acceso a instancias susceptibles de GitLab. «Los intentos de explotación exitosos activarán eventos de registro relacionados con SAML», dijo. «Un intento de explotación exitoso registrará cualquier valor de extern_id establecido por el atacante que intenta la explotación». «Los intentos de explotación fallidos pueden generar un ValidationError de la biblioteca RubySaml. Esto podría deberse a una variedad de razones relacionadas con la complejidad de crear un exploit funcional». El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó cinco fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), incluido un error crítico recientemente revelado que afecta a Apache HugeGraph-Server (CVE-2024-27348, puntaje CVSS: 9.8), basado en evidencia de explotación activa. Se ha recomendado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que remedien las vulnerabilidades identificadas antes del 9 de octubre de 2024 para proteger sus redes contra amenazas activas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

19 de septiembre de 2024Ravie LakshmananSalud / Malware Microsoft ha revelado que se ha observado a un actor de amenazas con motivaciones económicas utilizando una cepa de ransomware llamada INC por primera vez para atacar al sector de la salud en los EE. UU. El equipo de inteligencia de amenazas del gigante tecnológico está rastreando la actividad bajo el nombre de Vanilla Tempest (anteriormente DEV-0832). «Vanilla Tempest recibe transferencias de infecciones de GootLoader por parte del actor de amenazas Storm-0494, antes de implementar herramientas como la puerta trasera Supper, la herramienta legítima de administración y monitoreo remoto (RMM) AnyDesk y la herramienta de sincronización de datos MEGA», dijo en una serie de publicaciones compartidas en X. En el siguiente paso, los atacantes proceden a realizar un movimiento lateral a través del Protocolo de escritorio remoto (RDP) y luego usan el host del proveedor de Instrumental de administración de Windows (WMI) para implementar la carga útil del ransomware INC. El fabricante de Windows dijo que Vanilla Tempest ha estado activo desde al menos julio de 2022, con ataques anteriores dirigidos a los sectores de educación, atención médica, TI y fabricación utilizando varias familias de ransomware como BlackCat, Quantum Locker, Zeppelin y Rhysida. Vale la pena señalar que el actor de amenazas también se rastrea bajo el nombre de Vice Society, que es conocido por emplear casilleros ya existentes para llevar a cabo sus ataques, en lugar de construir una versión personalizada propia. El desarrollo se produce cuando se ha observado que grupos de ransomware como BianLian y Rhysida utilizan cada vez más Azure Storage Explorer y AzCopy para exfiltrar datos confidenciales de redes comprometidas en un intento de evadir la detección. «Esta herramienta, utilizada para administrar el almacenamiento de Azure y los objetos dentro de él, está siendo reutilizada por actores de amenazas para transferencias de datos a gran escala al almacenamiento en la nube», dijo el investigador de modePUSH Britton Manahan. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.