Archivo de etiquetas Sextorsión

PorLeón Ramos

34 – 10 mensajes de ciberseguridad en el Foro Mundial de Davos

Emisión 34

  1. La Unión Europea podría detener el uso del Face ID o reconocimiento facial.
  2. Publican una base de datos con usuarios y contraseñas de 515,000 servidores, routers y dispositivos IoT
  3. ¡Ya están abiertos los Call for Papers para varios eventos!
  4. Sextorsiones que buscan intimidar a los usuarios de Google Nest Cam
  5. Ahora puedes usar tu iPhone o iPad, con iOS 10 o posterior, como llave de seguridad física.
  6. ¿Recuerdan la noticia de que alguien había vulnerado el teléfono de Jeff Bezos? Pues hay avances en la investigación.
  7. Los 10 mensajes sobre ciberseguridad que se están discutiendo en el Foro Económico Mundial en Davos, Suiza.
  8. Europa intenta dar un poco de cordura a la industria despiadada del hardware de telefonía celular.
  9. Lo que pasa en tu iPhone, se queda en tu iPhone, pero lo que sube a iCloud?

 

Notas del episodio

La Unión Europea podría detener el uso del Face ID o reconocimiento facial durante tres o cinco años para poder evaluar sus riesgos. (Ligando con la nota sobre biométricos de la semana pasada y qué pasaría si se filtrara la base de datos) https://www.america-retail.com/internet-of-things/internet-of-things-el-reconocimiento-facial-peligra-en-europa/
https://www.america-retail.com/featured/internet-of-things-amazon-prepara-un-metodo-de-pago-escaneando-las-manos/

El operador del servicio DDoS booter, filtró la semana pasada una lista de credenciales de acceso vía Telnet y direcciones IP de 515,000 dispositivos IoT, routers y servidores. El operador dijo que esta lista fue recopilada escaneado todos los dispositivos conectados a Internet probando credenciales por default y una serie de combinaciones de usuarios y contraseñas conocidas. ¿Pero por qué al operador de un servicio de ataques de DDoS se le ocurriría publicar la lista que probablemente le sería de utilidad? En un comunicado, el operador dijo que ya no necesitaba más esos dispositivos, que su servicio había mejorado y ahora realiza ataques con dispositivos más poderosos en servicios en la nube.

¡Ya están abiertos los Call for Papers para varios eventos! Para la gente de la comunidad de software libre les comento que ya está abierto el Call for papers del Instituto Tecnológico de Toluca para la edición 2020 de su FLISOL. El evento ya tiene fecha y se realizará el 27 de marzo de 9 a 19h en el propio instituto. Los interesados manden un mensaje directo para hacerles llegar el medio de contacto. Para nuestros amigos programadores, se vienen dos eventos importantes este año. Ya viene la primera edición del JS Conf México, un evento para los programadores de front-end, que se realizará en CDMX los días 4 y 5 de mayo. Tienen abierto su call For papers y puedes postularte en el sitio jsconf.mx. También en mayo 22 y 23 se realizará la conferencia RustLatam ahí mismo en CDMX. Si programas C y C++, y todavía no conoces el lenguaje Rust, creo que ya va siendo el momento de acercarse. Rust, entre otras cosas, evita errores de apuntadores y evita, en muchos casos, las vulnerabilidades de stackoverflow. Así que si no te has acercado a Rust, es momento de hacerlo y, si ya lo conoces, envía tu propuesta de ponencia. Podrás encontrar más información en rustlatam.org.

Sextorsiones que buscan intimidar a los usuarios de Google Nest Cam: Investigadores de Mimecast reportaron un nuevo tipo de estafa un poco más sofisticada en Los Estados Unidos. Las víctimas reciben un correo electrónico amenazándolos y diciendo que tienen supuestos videos íntimos. Lo que deben hacer para poder ver los videos que están en su posesión es entrar a una cuenta de correo electrónico e ingresar una contraseña y leer el correo que está ahí guardado llamado “léeme”. Posteriormente reciben otro correo con el link donde podrán descargar los videos y les piden pagar 500 euros en Bitcoin, tarjetas de Amazon, Google, Apple o Best Buy. El material que se puede descargar pudo haber sido descargado de cualquier cámara del hogar y no se distinguen bien los rostros. https://www.hackread.com/new-sextortion-scam-recording-hacked-google-nest-cam/

Ahora puedes usar tu iPhone o iPad, con iOS 10 o posterior, como llave de seguridad física para iniciar sesión de forma segura en tu cuenta de Google. Esta opción ya está disponible en Android desde Febrero 2019. Esta es una muy buena forma de proteger tu cuenta contra ataques de phishing o ataques de reuso de contraseñas, ya que nadie podrá acceder a tu cuenta por que tu iPhone funciona como una llave física que necesita estar presente durante la autenticación a tu cuenta de Google. Lo único que necesitas es instalar la app Google Smart Lock en tu dispositivo, parear tu dispositivo con tu laptop via Bluetooth y acceder a la sección Programa de Protección Avanzada para realizar la configuración. La aplicación almacena sus claves privadas en el Secure Enclave del iPhone, un procesador separado dentro de los iPhones modernos que maneja información biométrica como su huella digital, Face ID y otros datos criptográficos, es por eso que solo está disponible en iOS 10 y superior.

¿Recuerdan la noticia de que alguien había vulnerado el teléfono de Jeff Bezos? Pues hay avances en la investigación. Resulta que tras un análisis forense el teléfono de Jeff, que diariamente manejaba una subida de 430KB, aumentó a cerca de 126MB de subida diaria justo después de haber recibido un mensaje de Mohammed bin Salman, el príncipe Arabia Saudita, a través de Whatsapp. Esto ya se hizo una historia de complot internacional entre las intenciones de Mohammed bin Salman de aumentar la inversión occidental en Saudiarabia y el hackeo hacia el dueño del Washington post que desencadenaría en la muerte de uno de sus corresponsales. No se sabe qué información de Jeff se filtró, pero como quien dice, ya están en eso.

https://www.theguardian.com/technology/2020/jan/21/amazon-boss-jeff-bezoss-phone-hacked-by-saudi-crown-prince/

Los 10 mensajes sobre ciberseguridad que se están discutiendo en el Foro Económico Mundial en Davos, Suiza.
Donald Trump se paseará por los Alpes Suizos, mientras los Senadores estadounidenses comienzan su juicio político o impeachment y determinan si presionó o no al presidente de Ucrania para investigar al exvidepresidente Joe Biden… pero bueno… el Foro Económico Mundial ha sido uno de los más preocupados para concientizar a los más altos niveles sobre las implicaciones que pueden tener los fallos de seguridad y estos son los mensajes que quieren enviar a los mandatarios en 2020:

  1. Los ciberataques están creciendo en cuanto a frecuencia y sofisticación se refiere. Es responsabilidad del sector privado y público tomar acción y generar confianza digital para los ciudadanos.
  2. Los miembros de consejo y directivos deben comprender los riesgos a los que están expuestos y preparar una estrategia
  3. Las organizaciones deben mejorar la administración de sus crisis, desarrollar una respuesta holística y planes de recuperación, así como una manera de comunicar hacia diferentes vías de forma precisa.
  4. Los líderes deben promover una cultura de ciberseguridad desde el nivel más bajo, hasta el nivel más alto de la empresa.
  5. Los líderes deben replantearse la estructura organizacional para poder darle más autoridad o gobernanza a la ciberseguridad.
  6. Se deben destinar más recursos a la ciberseguridad, para estar a la par del desarrollo tan rápido que está teniendo la delincuencia.
  7. Debe haber una cooperación global, compartir información entre los sectores públicos y privados, así como las agencias de inteligencia para desarrollar mejores habilidades y talento.
  8. Para mantener un internet seguro y abierto, tanto el sector público y privado deben colaborar
  9. El desarrollo de verificaciones y certificaciones confiables ayudarán a a la resilencia y al aseosramiento de las organizaciones.
  10. El Foro Económico mundial funge como una plataforma neutral para facilitar la cooperación y medir el impacto de este sector de forma global.

https://www.weforum.org/agenda/2020/01/global-leaders-must-take-responsibility-for-cybersecurity-here-s-why-and-how/

Europa intenta dar un poco de cordura a la industria despiadada del hardware de telefonía celular. Se acaba de retomar el trabajo legislativo que busca, obviamente por ley, estandarizar el uso de los cables cargadores de teléfonos. ¿Se les ocurre una compañía que esté en contra de los estándares por miedo a juntarse con la plebe? Pues si, Apple ya dijo que esa medida va a afectar la innovación y que impactará negativamente generando chatarra y costos a los usuarios. Por otro lado, ¿a ustedes les gustaría que hubiera un único conector/cargador que pudiera gobernarlos a todos como bien lo dijera tolkien en el señor de los anillos?

Lo que pasa en tu iPhone, se queda en tu iPhone, pero ¿lo que sube a iCloud se queda en iCloud?. Son varios casos en los que el FBI y otras unidades de inteligencia del Gobierno de los EE. UU. ha solicitado a Apple desbloquear los iPhones de terroristas, pero Apple siempre ha dicho que ni ellos pueden tener acceso a la información almacenada en el iPhone. De hecho, en el caso más reciente, en donde un militar saudí mató a 3 militares estadounidenses, EE. UU. solicitó a Apple el acceso al iPhone del tirador a lo que Apple entregó las copias de seguridad de su iCloud. Después de todo esto, ha salido a la luz que Apple estaba trabajando hace 2 años en un proyecto para implementar el cifrado de punto a punto en iCloud para que la información que fuera transferida de un iPhone permaneciera cifrada en iCloud [Pasa lo mismo con Google Drive], pero el gobierno de los Estados Unidos lo detuvo porque podría dañar sus investigaciones. Durante los primeros 6 meses, el gobierno de los EE. UU. solicitó a Apple el contenido del iCloud de alrededor de 18,000 cuentas.

Escucha el podcast:

En ivoox:

En Spotify

iTunes

 

En Youtube