GCCVIEWS

Etiqueta: Ethical hackers

  • Un nuevo fallo de seguridad en WhatsApp podría filtrar tu dirección IP

    La última versión de la aplicación de WhatsApp en todas las plataformas es vulnerable a la divulgación de IP pública del usuario de WhatsApp remoto. Una grave vulnerabilidad en WhatsApp  que podría facilitar la búsqueda de la ubicación y la dirección IP de los usuarios.

    La aplicación ha tenido graves fallos de seguridad a lo largo de su historia. Uno de los más sonados era que, con sólo recibir una llamada perdida, cualquier persona podía robar chats e imágenes de nuestro móvil. Ahora, un nuevo fallo permite conocer la dirección IP de cualquier persona, lo que la expone a ataques.

    El fallo ha sido descubierto por un usuario llamado bhdresh, que ha creado incluso una prueba de concepto en la que demuestra cómo funciona la vulnerabilidad y cómo se le puede sacar el partido para obtener la dirección IP de una persona con tan sólo realizar una llamada a través de la app.

    Se observa que durante una llamada de whatsapp, tanto de voz como de video, la aplicación del lado de la persona que llama intenta establecer una conexión directa con la dirección IP pública del dispositivo receptor. Al filtrar las direcciones IP de los servidores de Facebook y WhatsApp de los hosts de destino, es posible revelar la dirección IP pública correcta del usuario de WhatsApp objetivo sin su conocimiento. El fallo de seguridad funciona incluso en la última versión de la app.

    La posibilidad de mapear a los usuarios de whatsapp con su IP pública no solo revelará la información de ubicación de los usuarios de whatsapp, sino que también se puede utilizar para rastrear su movimiento físico al mantener el historial de ubicación. Este mapeo directo entre la información del usuario y la IP también se puede utilizar incorrectamente para rastrear los hábitos de navegación de los usuarios e influenciarlos. Además, la IP pública podría explotarse para lanzar ataques dirigidos hacia el hogar u oficina del usuario de WhatsApp.

    Para la aplicación posicionada como una de las aplicaciones de mensajería más usadas en todo el mundo, con más de 2 mil millones de usuarios a la fecha, podría significar un peligro bastante grave en caso de que esta vulnerabilidad se salga de control.

    El usuario que ha descubierto esta vulnerabilidad reportó el fallo a Facebook el 14 de octubre de 2020, pero la red social dijo que este funcionamiento era el esperado y que no había nada que parchear, por lo que no iban a dar recompensa. El único consejo que daban era usar una VPN si no querían que su dirección IP se viese expuesta.

    En marzo de 2021, Signal introdujo un mecanismo para redirigir las llamadas a través de un servidor para ocultar la dirección IP real del destinatario y que este método no funcione. Por ello, bhdresh volvió a preguntar a Facebook si podían implementar algo así, y dijeron que no, que la implementación actual funciona sin problemas. Por ello, nuestra dirección IP está expuesta ante cualquiera que nos llame, por lo que la única solución es usar una VPN, no agarrar llamadas de desconocidos, o incluso bloquear las llamadas en WhatsApp.

  • Ataques de ransomware: ¿pagar o no pagar?

    El mayor ataque cibernético de ransomware (pagar rescate) de 2021 ha echado leña al debate entre políticos, expertos de ciberseguridad y líderes corporativos sobre si debería establecerse una estrategia de prohibir a las empresas remunerar a los piratas para contrarrestar más amenazas.

    Las empresas y otras organizaciones víctimas de los ataques tienen que elegir entre pagar un rescate para recuperar el control de sus redes de computación o negarse y perder datos irremplazables y la capacidad de reanudar sus operaciones.

    Con la presión en aumento sobre la administración para encontrar vías de contener la amenaza, el presidente Joe Biden se reunió el miércoles con los principales funcionarios de seguridad nacional y otros expertos para discutir nuevas tácticas y políticas.

    La secretaria de prensa de la Casa Blanca, Jen Psaki, dijo después a los reporteros que los funcionarios pusieron al día a Biden de sus esfuerzos para combatir el ransomware y añadió que el presidente “se reserva el derecho de responder contra cualquier red de ransomware y quienes las protejan”.

    El ataque del fin de semana del 4 de julio fue dirigido contra el proveedor de software Kaseya y más de 1.000 de sus clientes en todo el mundo. Le siguieron varias intrusiones similares a atribuidas a grupos criminales que se cree que operan desde Rusia.

    REvil, una banda de piratas cibernéticos de habla rusa a la que se culpó del ataque al procesador de carnes JBS en EE. UU. en junio, se responsabilizó del ataque del fin de semana y dijo que había infectado más de un millón de “sistemas”.

    El grupo está demandando un rescate de 70 millones de dólares en criptomonedas a cambio de una clave “universal” que libere a las máquinas afectadas. El pago sería el mayor hecho hasta ahora, según la firma se seguridad cibernética Recorded Future.

    Una horrible situación

    Mientras los expertos en seguridad cibernética dicen que es muy improbable que las compañías afectadas, desde mercados suecos a jardines infantiles en Nueva Zelanda, se unan para pagar el rescate, el incidente ilustra el problema que enfrentan a menudo las víctimas de los ataques ransomware.

    «Ninguna compañía quiere encontrarse en esa situación, donde tienen que elegir entre mantenerse abiertas y seguir funcionando a costa de financiar a los criminales”, dijo Philip Reiner, director ejecutivo del Instituto para Seguridad y Tecnología.

    El director del FBI, Christopher Wray, dice que las compañías y organizaciones víctimas de ataques ransomware no deben pagar a los piratas para liberar sus datos, sino recurrir a las autoridades inmediatamente.

    Los ataques ransomware han aumentado en los dos últimos años, impulsados por la proliferación de las criptomonedas, que permiten pagos peudoanónimos y un modelo comercial que atrae incluso a criminales menos sofisticados.

    Sin embargo, con los ataques a servicios críticos como hospitales y escuelas, las autoridades de Estados Unidos y otros países occidentales los están considerando como amenazas a la seguridad nacional.

    ¿Pagar o no pagar?

    Uno de los asuntos más difíciles para los funcionarios es si se debería prohibir a las empresas y otras organizaciones pagar los rescates de los ransomware.

    Los que están a favor de esta medida alegan que como los ataques están motivados por la recompensa, eliminar el incentivo económico sacará a los criminales del negocio.

    Los opositores dicen que prohibir los pagos perjudicaría los esfuerzos de las empresas para tratar de restaurar sus operaciones.

    Según Anne Neuberger, viceasesora de seguridad nacional para tecnología cibernética y emergente, “es una decisión difícil” que debe ser estudiada “con mucho cuidado” para anticipar sus efectos.

    También dijo que la infraestructura crítica de Estados Unidos es propiedad y está operada en gran parte por el sector privado, lo que limita la capacidad del gobierno de dictar decisiones comerciales, como pagar rescates.

    En su lugar, añadió, el gobierno está analizando incentivos que puede ofrecer a las organizaciones para que no tengan que pagar un rescate.

    Al mismo tiempo, la administración está revisando su política sobre el secreto de los pagos de ransomware. Como muchas víctimas negocian en secreto con los atacantes, se desconoce el alcance de muchos ataques ransomware, dijo Neuberger.

    Por otro lado, algunos miembros del Congreso están presionando por leyes que obliguen a las compañías a notificar al gobierno sobre intrusiones y que reporten todos los pagos de rescate.

    «Necesitamos más transparencia” en este asunto, dijo el senador demócrata Mark Warner, presidente del Comité de Inteligencia del Senado, a la cadena NBC el mes pasado.

  • Ciberataque al sistema de salud irlandés, golpeado dos veces en una semana

    El Departamento de Salud de Irlanda reveló este domingo un ciberataque contra el sistema de salud, en medio del temor de que se pudieran filtrar datos confidenciales de pacientes en línea. El ciberataque afectó a la mayoría de los servicios de salud del país, incluidas las pruebas de coronavirus, los servicios de atención materna, la atención del cáncer, el seguimiento de COVID-19 y las derivaciones de rutina para atención secundaria. Un ministro del gobierno lo llamó «el delito cibernético más importante en el estado irlandés».

    El Departamento de Salud ha sido blanco de un ciberataque similar al de los últimos días contra el Ejecutivo de Servicios de Salud (HSE), lo que provocó el cierre de gran parte de su infraestructura de TI. Se sospecha que ambos ataques al HSE y al Departamento de Salud son del mismo grupo. El ataque tomó la forma de ransomware, que ocurre cuando los ciberdelincuentes utilizan una forma de malware para cifrar redes y luego exigen un pago a cambio de la clave de descifrado.

    En respuesta, el HSE apagó inmediatamente todos sus sistemas informáticos, una medida de precaución para proteger las redes de la organización de nuevos ciberataques. Esto ha afectado inevitablemente la prestación de servicios clave en todo el país. En su última actualización, el HSE dijo que los pacientes deben esperar que las citas de los servicios ambulatorios, rayos X y servicios de laboratorio, en particular, sigan estando gravemente afectados. Los pacientes también verán retrasos en la obtención de los resultados de la prueba COVID-19, y el rastreo de contactos, aunque sigue funcionando normalmente, llevará más tiempo de lo habitual.

    Las consecuencias del ciberataque de la semana pasada al HSE continúan con el director ejecutivo del Hospital Universitario de Limerick, Colette Cowan, diciendo que el personal está revisando físicamente los gráficos por todo el hospital para compensar la falta de sistemas de correo electrónico e intranet. Cowan declaró que los servicios que incluyen radiografías y resonancias magnéticas se han visto afectados. “Ahora hay una gran cantidad de personal corriendo entre los departamentos, llevando los resultados de sangre, eso es realmente limitante en lo que podemos hacer”, afirmó. «Los servicios que incluyen radiografías y resonancias magnéticas se han visto afectados. Incluso las cirugías se ven afectadas por el acceso limitado a la radiología. Tenemos que tener en cuenta todos estos riesgos y gestionarlos con cuidado».

    El HSE ha confirmado ahora  que los atacantes han solicitado un rescate, aunque la cantidad exacta aún no se ha aclarado. «Tras una evaluación inicial, sabemos que se trata de una variante del virus Conti que nuestros proveedores de seguridad no habían visto antes. Se ha solicitado un rescate y no se pagará de acuerdo con la política estatal», dijo el HSE.

    Conti opera sobre la base de ciberataques de «doble extorsión», lo que significa que los atacantes amenazan con revelar información robada a las víctimas si se niegan a pagar el rescate. La idea es impulsar la amenaza de la exposición de datos a más víctimas de chantaje para que satisfagan las demandas de los piratas informáticos. La organización ha estado trabajando con el Centro Nacional de Seguridad Cibernética (NCSC) y expertos en ciberseguridad de terceros como McAfee para investigar el incidente.

    El NCSC recomendó una estrategia de remediación que implica contener el ataque aislando los sistemas que fueron pirateados, antes de limpiar, reconstruir y actualizar todos los dispositivos infectados. El HSE debe asegurarse de que el antivirus esté actualizado en todos los sistemas, antes de utilizar copias de seguridad externas para restaurar los sistemas de forma segura.

    Hay 80,000 dispositivos HSE que deben revisarse antes de que puedan volver a estar en línea, dando prioridad a los sistemas clave de atención al paciente, incluidas las imágenes de diagnóstico, los sistemas de laboratorio y la oncología de radiación, y algunos sistemas que ya se han recuperado. Si bien está claro que los datos en algunos servidores se han cifrado, la organización admitió que se desconoce el alcance total del problema en este momento.

    El ciberataque sigue a ataques similares a los servicios de atención médica en otras partes de Europa, incluido el Reino Unido, Finlandia y Francia, y solo unos días después de que uno de los operadores de oleoductos más grandes de los EE. UU.  pagara cerca de $ 5 millones a un grupo de ransomware que tenía sistemas de claves cifrado, lo que obligó al gigante del combustible a cerrar temporalmente sus operaciones de TI y afectó enormemente al suministro del país.

    Los ataques cibernéticos a los sistemas de salud han aumentado significativamente desde que comenzó la pandemia el año pasado. Group-IB, una empresa de ciberseguridad, dijo que los ataques de ransomware crecieron un 150% en 2020.

    Pero los expertos en ciberseguridad dijeron que lo peor aún está por llegar para los servicios críticos de Europa. «Está empeorando y empeorando más rápido», dijo Mikko Hyppönen, director de investigación de F-Secure. Si bien no está claro qué vulnerabilidades específicas se explotaron en el caso de Irlanda, Hyppönen dijo que los sistemas de atención médica son particularmente vulnerables a tales ataques.

    «La causa principal de las mayores interrupciones de los sistemas médicos es el uso de sistemas heredados. En general, existe una falta de presupuesto para reemplazar las máquinas viejas por otras nuevas. Las viejas son demasiado lentas para ejecutar nuevos sistemas operativos, por lo que siguen funcionando versiones antiguas «, agregó.

    «El ciberataque al sistema de salud irlandés es otro indicio de cómo los operadores de ransomware están siempre en movimiento: mejorando, automatizando y volviéndose más efectivos para dirigirse a organizaciones cada vez más grandes», dice Paul Donegan, director nacional para Irlanda de la empresa de ciberseguridad Palo Alto Networks.

    En esta línea, la UE está tratando de imponer una reforma. La Comisión Europea propuso en diciembre una actualización de sus reglas de seguridad cibernética, conocida como la directiva de Seguridad de la Red y la Información, que requeriría que muchas industrias, incluida la atención médica, refuercen sus defensas cibernéticas o enfrenten multas millonarias. Pero el proyecto de ley está a meses, si no años, de ser finalizado, incluso cuando los propios ataques se vuelven cada vez más sofisticados y audaces.

    Hyppönen dijo que se necesitarán más ataques como el irlandés para que la gente responda a la amenaza. «La mayor diferencia surge cuando las empresas y organizaciones ven lo que sucede con sus propios ojos. Parece que necesitamos que ocurran desastres a nuestro alrededor para que las organizaciones hagan un cambio real», dijo.

    Si aún no la ha hecho, solicite su revisión de vulnerabilidad y riesgo cibernético a Goethals Consulting, probablemente le sorprenderá su nivel de indefensión.

  • La información sobre las vacunas de Pfizer / BioNTech hackeada a la Agencia Europea de Medicamentos podrían complicar su cronograma

    BioNTech y Pfizer dicen que EMA (Agencia Europea de medicamentos) les ha «asegurado’»que el ciberataque no tendrá ningún impacto en el cronograma para la revisión de su vacuna.

    La farmacéutica estadounidense Pfizer y su socio alemán BioNTech , comunicaron a última hora del miércoles que los documentos relacionados con su vacuna COVID-19 fueron «accedidos ilegalmente» después de un ciberataque al regulador europeo de medicamentos.

    La Agencia Europea de Medicamentos, o EMA, que autoriza el uso de medicamentos en toda la Unión Europea, había revelado anteriormente que había sido blanco de un ciberataque.

    «La Agencia ha lanzado rápidamente una investigación completa, en estrecha cooperación con las fuerzas del orden y otras entidades relevantes», dijo la EMA en un breve comunicado . Agregó que no pudo proporcionar detalles adicionales mientras la investigación está en curso.

    Tras la divulgación, BioNTech manifestó  que se había accedido a los documentos incluidos en su presentación reglamentaria , que se habían almacenado en un servidor de la EMA.

    «Es importante tener en cuenta que no se ha violado ningún sistema de BioNTech o Pfizer en relación con este incidente y no sabemos que los participantes del estudio hayan sido identificados a través de los datos a los que se accedió», dijo BioNTech en un comunicado en su sitio web.

    “En este momento, esperamos más información sobre la investigación de la EMA y responderemos de manera apropiada y de acuerdo con la ley de la UE (Union Europea). EMA nos ha asegurado que el ciberataque no tendrá ningún impacto en el cronograma de su revisión ”, agregó la compañía.

    La EMA, que autoriza el uso de medicamentos en toda la UE, está trabajando en la aprobación de la vacuna candidata Pfizer – BioNTech, así como en la inyección experimental que está desarrollando la biotecnología estadounidense Moderna, Y espera concluir su revisión antes del 29 de diciembre.

    El regulador ha estado llevando a cabo revisiones continuas de candidatos a vacunas, incluidas las realizadas por la compañía farmacéutica AstraZeneca y la Universidad de Oxford, durante meses. Las llamadas revisiones continuas permiten a los fabricantes de medicamentos enviar datos a medida que están disponibles, en lugar de enviarlos una vez que se concluye el trabajo de desarrollo

    BioNTech manifestó que había hecho públicos los detalles del hack, «dadas las consideraciones críticas de salud pública y la importancia de la transparencia».

    Sus comentarios se produjeron la misma semana en que una mujer de 90 años en el Reino Unido se convirtió en la primera persona en el mundo en recibir la inyección de Pfizer-BioNTech COVID-19 fuera de los ensayos, como parte de un programa de vacunación masiva en el país.

    Un portavoz del Centro Nacional de Seguridad Cibernética del Reino Unido, o NCSC, una rama de la agencia de inteligencia GCHQ, dijo: “El NCSC apoya la investigación y fabricación de vacunas vitales defendiendo de las amenazas cibernéticas.

    «Estamos trabajando con socios internacionales para comprender el impacto de este incidente que afecta al regulador de medicamentos de la UE, pero actualmente no hay evidencia que sugiera que el regulador de medicamentos del Reino Unido se haya visto afectado», agregó el portavoz.

    Los reguladores han intensificado sus advertencias en las últimas semanas sobre las amenazas de piratería contra los fabricantes de vacunas y los organismos de salud pública durante la pandemia de COVID-19.

    El mes pasado, el NCSC dijo que más de una cuarta parte de todas las amenazas cibernéticas que manejó involucraban a criminales y estados hostiles que explotaban la pandemia de COVID-19, según su último informe. Los espías del Reino Unido detectaron 723 incidentes en los 12 meses hasta fines del 31 de agosto, un aumento del 10% desde 658 en el mismo período en 2019, dijo el NCSC en su  revisión anual  publicada el 4 de noviembre.

    Apenas unos días antes, las agencias federales de EE. UU. advirtieron que el sistema de atención médica de EE. UU. se enfrenta a una amenaza «creciente e inminente» de ciberdelito. En septiembre, un ataque de ransomware afectó a la cadena de hospitales  Universal Health Services , que opera más de 250 hospitales, lo que obligó a los médicos y enfermeras a depender de sistemas de respaldo en papel.

    Reiteramos, lo que ha sucedido con el ataque a la documentación de respaldo de vacunas ante el EMA es de una gravedad aún no dimensionada, especialmente cuando el mundo necesita la vacuna a la mayor brevedad posible. Parafraseando al Ethical Hacker Pavol Luptak , que ha dicho sobre este particular: «Para algunos países, es más barato piratear la vacuna que invertir en su desarrollo. La inversión en seguridad de IT siempre debe reflejar cómo se valoran los conocimientos sobre las vacunas», agregamos: la inversión en seguridad de su compañía debería reflejar la valoración que Usted hace de la misma. Hoy más que nunca.

  • Su cuenta bancaria está en peligro: el nuevo virus Ghimob que llega por mail y lo deja sin fondos

    El troyano de banca móvil Ghimob dirigido a aplicaciones financieras y de expansión internacional ofrece acceso remoto a hackers

    El nuevo troyano de acceso remoto (RAT) llamado Ghimob ha estado apuntando a aplicaciones financieras de Android de bancos, fintechs, intercambios de criptomonedas en Brasil, Paraguay, Perú, Portugal, Alemania, Angola y Mozambique, según afirmaron los investigadores de seguridad de Kaspersky, un proveedor multinacional de ciberseguridad y antivirus con sede en Moscú.

    Se dice que este troyano fue implementado por un grupo de amenazas con sede en Brasil, Guildma, un actor que forma parte de la familia Tetrade de troyanos bancarios, que también estuvo detrás del reciente malware Astaroth para Windows.

    Kaspersky descubrió  el troyano Ghimob mientras investigaba otra campaña de malware. El troyano se transmite por correo electrónico que pretende ser de un acreedor y proporciona un enlace donde el destinatario puede ver más información, mientras que la propia aplicación pretende ser Google Defender, Google Docs, WhatsApp Updater, etc.

    Si el usuario hace clic en este enlace, verá una serie de protocolos de seguridad que parecen legítimos al principio, pero mientras todo esto sucede, el troyano ya se habrá instalado en su dispositivo. Una vez que se completa la infección, el malware procede a enviar un mensaje al hacker. Esto incluye el modelo de teléfono, si tiene el bloqueo de pantalla activado y una lista de todas las aplicaciones instaladas que el malware tiene como objetivo, incluidos los números de versión.

    “Cuando el ciberdelincuente está listo para realizar la transacción, puede insertar una pantalla negra como una superposición o abrir algún sitio web en pantalla completa, de modo que mientras el usuario mira esa pantalla, el delincuente realiza la transacción en segundo plano utilizando la aplicación financiera ejecutándose en el teléfono inteligente de la víctima que el usuario ha abierto o en el que ha iniciado sesión ”, explican los investigadores de Kaspersky.

    Kaspersky afirmó que Ghimob espía 153 aplicaciones móviles, principalmente de bancos, fintech, criptomonedas e intercambios. El informe dice que esto incluye alrededor de 112 aplicaciones de instituciones en Brasil, 13 aplicaciones de criptomonedas de diferentes países, 9 sistemas de pago internacionales, 5 aplicaciones bancarias en Alemania, 3 aplicaciones bancarias en Portugal, 2 aplicaciones en Perú, 2 en Paraguay y 1 aplicación de Angola y Mozambique también.

    Ghimob intenta ocultar su presencia ocultando el icono del cajón de la aplicación. El malware también impide que el usuario lo desinstale, reinicie o apague el teléfono. Kaspersky advierte: “Ghimob es el primer troyano bancario móvil brasileño listo para expandirse y dirigirse a instituciones financieras y sus clientes que viven en otros países. Nuestros hallazgos de telemetría han confirmado víctimas en Brasil, pero como vimos, el troyano está bien preparado para robar credenciales de bancos, fintechs, intercambios, intercambios de cifrado y tarjetas de crédito de instituciones financieras que operan en muchos países, por lo que, naturalmente, será una expansión internacional.»

    Para mantenerse a salvo de las amenazas bancarias y de este troyano de acceso remoto (RAT), Kaspersky recomienda tomar las siguientes medidas de seguridad:

    • Proporcionar a su equipo de SOC (centro de operaciones de seguridad) acceso a la inteligencia de amenazas (TI) más reciente.
    • Educar a sus clientes sobre los posibles trucos que pueden utilizar los malhechores, enviándoles periódicamente información sobre cómo identificar el fraude y comportarse en esta situación.
    • Implementar una solución antifraude, que puede proteger el canal móvil de sucesos cuando los atacantes utilizan un control remoto para realizar una transacción fraudulenta. Para protección, la solución puede detectar malware RAT en el dispositivo e identificar señales de control remoto a través de software legal.

  • Hackers éticos descubren una vulnerabilidad crítica en la aplicación gubernamental MyHealth sobre toda la data de pacientes Covid

    En la aplicación Moje eZdravie, hackers éticos identificamos una vulnerabilidad trivial que nos permitió obtener información personal sobre más de 390.000 pacientes a los que se les hizo la prueba de COVID-19 en Eslovaquia (para la demostración logramos obtener información personal sobre más de 130.000 pacientes, de los cuales más de 1600 COVID-19 eran positivos).

    La información personal obtenida de cada paciente incluye nombre, apellidos, número de nacimiento, fecha de nacimiento, sexo, número de móvil, lugar de residencia, información sobre síntomas clínicos (neumonía, fiebre, tos, malestar, rinitis, cefalea, dolores articulares y musculares), código de muestras, la fecha de recogida exacta, el laboratorio que realizó la prueba, el médico del solicitante, el número de protocolo, la fecha de recepción y examen, los tipos de prueba y, por supuesto, su resultado.

    Descripción de la vulnerabilidad

    El mal uso de esta vulnerabilidad que llevó a la filtración de más de un cuarto de millón de datos personales y los resultados de las pruebas COVID-19 a ciudadanos eslovacos fue posible debido a los siguientes factores:

    • Motor de búsqueda público que llama a la fuga de API (que lo indexó)
    • Permitir el acceso no autorizado a las propias llamadas API, lo que permitió el acceso a información confidencial sin ninguna autenticación
    • Capacidad para obtener información sobre todos los pacientes simplemente enumerando un identificador numérico
    • La ausencia de mecanismos que impidan la descarga masiva de estos datos.
    • Todos los datos estaban sin cifrar, es decir, en forma completamente insegura (en «texto sin formato»)
    • Obtención de una base de datos de pacientes a los que se les realizó la prueba de COVID-19
    • El hacker pudo acceder a los datos de todos los pacientes sin ninguna autenticación y también sin conocimientos técnicos especiales. El script para obtener datos de todos los pacientes en formato XML es completamente trivial:

    Por lo tanto, no se necesitó ningún exploit especial para obtener la base de datos completa de los pacientes evaluados.

    Información de datos y posible uso indebido

    Descargamos una muestra lo suficientemente grande de datos aleatorios y analizamos que éstos eran registros verdaderamente únicos

    Según los identificadores numéricos, detectamos al menos 391250 registros válidos (según https://korona.gov.sk / actualmente hay 393486)

    Identificamos registros completamente nuevos de pacientes evaluados (unas horas antes de que se corrigiera la vulnerabilidad)

    El primer registro tenía el identificador 8966

    La información filtrada, como el nombre, el apellido, el número de nacimiento, la fecha de nacimiento, el sexo, el número de teléfono móvil, el lugar de residencia o el correo electrónico, se puede utilizar de forma indebida para realizar sofisticados ataques dirigidos por ingeniería social (phishing, vishing y otros). Al utilizar otra información disponible como resultado de la prueba, información sobre la compañía de seguro médico o el nombre del laboratorio que realizó las pruebas, es posible llevar a cabo sofisticados ataques de «estafa» dirigidos.

    Divulgación responsable de vulnerabilidades

    Debido a que se trataba de datos muy sensibles para una gran parte de la población eslovaca, informamos de la vulnerabilidad a través del canal oficial CSIRT 13.9 a las 23:30. La vulnerabilidad se solucionó en 16.9 alrededor de las 16: 30-16: 50. Solo después de corregir esta vulnerabilidad, decidimos publicar esta vulnerabilidad.

    Conclusión

    Hay que pensar en:

    • ¿Por qué debería publicarse información tan sensible sobre todos los pacientes con COVID-19 analizados en Internet?
    • ¿Por qué no fueron anonimizados o encriptados de alguna manera?
    • ¿Por qué no estaban protegidos de ninguna manera mediante autenticación?
    • ¿Por qué no se destruyó la información sobre los registros de pacientes de varios meses?
    • Si el estado no puede proteger la información personal de todas las personas probadas en COVID-19, ¿por qué creemos que puede proteger los datos confidenciales de ubicación que puede obtener de los operadores móviles?

    Esta filtración pudo ser contenida debido al comportamiento ético de los hackers; sin embargo, ¿qué hubiera sucedido si caía en manos de inescrupulosos atacantes? en Panamá aún se discute si es necesaria una aplicación para rastreos y demás temas conexos con el Covid. La pregunta es si estaremos preparados tecnológicamente para blindar data sensible y más allá de esa respuesta, la verdadera pregunta es si realmente es necesario. Miremonos en el espejo ajeno.

    Aclaramos que los hackers éticos de este caso, Nethemba, son representados en Latinoamérica por Goethals Consulting. Si desea tener una cita para conversar sobre cyberseguridad y cómo proteger su empresa, no dude en hacer su cita aquí o llame al +507 302-2862 o +507 6229 2530.

  • Informe BID-OEA: Muchos países de Latinoamérica aún carecen de planes de protección de infraestructura contra ciberataques

    El estudio «Ciberseguridad: riesgos, avances y el camino a seguir en América Latina y el Caribe» que fue publicado el mes pasado, es la segunda edición de un informe que evalúa el estado de la preparación en ciberseguridad en la región publicado por el Banco Interamericano de Desarrollo (BID) junto con la Organización de los Estados Americanos (OEA).

    Según los hallazgos, desde el último estudio realizado en 2016, más de la mitad de los países de la región han mejorado su ciberseguridad al desarrollar e implementar estrategias nacionales y, en algunos casos, marcos legales para responder mejor a las amenazas cibernéticas en evolución, incluida una mayor protección de datos personales de los ciudadanos.

    Sin embargo, el informe encontró que, a pesar del progreso, más de las tres cuartas partes de los países observados carecen actualmente de los planes de protección de infraestructura crítica necesarios para responder a los ciberataques.

    “El mensaje de este informe es claro: América Latina y el Caribe deben hacer más para mejorar su situación de ciberseguridad ahora”, dijo Ana María Rodríguez, Vicepresidenta de Sectores del BID. “Los hallazgos son cruciales para guiar los esfuerzos del gobierno en la región, especialmente porque la crisis de COVID-19 acelera nuestra dependencia de las plataformas digitales en nuestra vida profesional y personal”.

    El informe también encontró que el impacto económico de los incidentes cibernéticos en América Latina y el Caribe superó los $90 mil millones solo en 2019, y que la mayoría de los países necesitan capacidades más sistemáticas y eficientes para monitorear y responder a incidentes de ciberseguridad, así como organismos centrales encargados de coordinar las actividades de ciberseguridad.

    Además, el informe destacó la necesidad de una «cooperación más activa» entre todos los países y organismos para aumentar la preparación en materia de ciberseguridad y abordar amenazas como el delito cibernético, los ataques cibernéticos a redes críticas y las operaciones cibernéticas con motivaciones políticas.

    Los temas relacionados con la ciberseguridad en América Latina también fueron discutidos por destacados expertos en el evento Cybertech Live LATAM este martes 11 de agosto.

    «Todo lo que hemos visto, todas las trayectorias que hemos visto en la transformación digital en la empresa y en la forma en que vivimos nuestras vidas se han acelerado dramáticamente», dijo Nadav Zafrir, CEO y cofundador del grupo de riesgo Team8. «El hecho de que casi el 90% de nuestra fuerza laboral casi de la noche a la mañana haya comenzado a trabajar de forma remota desde sus hogares tiene un gran impacto en la aceleración de la transformación digital».

    «Específicamente, esto crea una nueva convergencia en nuestras vidas», dijo. La casi dicotomía en la forma en que las personas solían vivir su vida personal y profesional está colapsando, y esto está creando un entorno totalmente nuevo en términos de ciberseguridad. Por ejemplo, las personas dependen mucho más de sus redes domésticas, según el CEO. «La capacidad de hacer un corte muy claro entre lo que está sucediendo en nuestra vida personal y lo que está sucediendo en nuestra vida corporativa es casi imposible de hacer en este entorno», señaló Zafrir.


    Al igual que otros expositores, habló del incremento de los casos de robos de identidad, fraudes y phishing. “Vemos un aumento de los ataques porque crecieron las oportunidades, y las motivaciones”. También habló de la mayor amenaza: la del atacante interno, que se da cuando alguien dentro de la compañía genera los ciberataques.

    Por su parte, Verónica Zabala, gerente del BID para Panamá, Centroamérica, Haití y República Dominicana subrayó que: “Entre enero y abril de este año los ciberataques al sector financiero crecieron más del 200% a nivel mundial”. Zabala puntualizó que con el Covid-19 se expandió la digitalización y, por lo tanto, la superficie de ataque. Por eso, aclaró que la ciberseguridad es un tema crítico y una oportunidad de desarrollo, porque falta mucho por hacer. Por último, afirmó que todavía hay 11 países en Latinoamérica que no tienen leyes que regulen los delitos informáticos, que apenas 7 tienen un plan de infraestructura crítica y que casi un tercio de los países no ofrecen capacitación en este ámbito.

    También destacó esta situación como una oportunidad para generar valor. En este sentido afirmó que Israel alcanzó $6,5 mil millones por exportación de servicios de ciberseguridad en lo que va de año, y Corea $90 millones, y concluyó que el crecimiento del sector a nivel global, alcanzará los $150 billones.

    Jony Fischbein, CISO de la empresa de ciberseguridad israelí Checkpoint, recordó por su parte el ataque informático a Twitter que implicó el compromiso de cuentas de alto perfil en la red y dijo que no basta con tener departamentos de seguridad informática sólidos dentro de las empresas sino que es importante que éstos se comuniquen con el resto de la compañía para educarlos en materia de ciberseguridad. “Podemos ser buenos como técnicos, pero si no tenemos una buena conexión con otros equipos que no son expertos en ciberseguridad no vamos a poder ganar la batalla”, concluyó.

    Toda precaución en materia de seguridad es vital para la supervivencia tanto de la organización como de la persona misma; sin embargo, uno considera que quizás eso no le suceda, total, la información suya quizás no le interese a nadie. Quizás, pero puede ser que muchas otras empresas u personas ligadas a alguno de sus dispositivos, sí sean importantes para los delincuentes y Usted y sus datos, la vía para llegar a ellos.

    Si desea conocer más sobre hacking ético, solicitar un test de vulnerabilidades o de penetración, no dude en consultarnos. Este asesoramiento es gratuito, online y en tiempo real, por un máximo de 50 minutos por sesión. Las sesiones son en idioma inglés.

    Para concretar su cita, escríbanos a info@goethalsconsulting.com o llamar al 6679-2750 / 6676-9280.

  • Uso de Hacking Ético para prevenir las vulnerabilidades en su empresa

    Con la irrupción del Covid 19, el aumento a las violaciones de datos y los ataques cibernéticos se han incrementado; sin embargo, han dejado de ser un evento mediático, a menos que sean a poderosos bancos o instituciones. Un tema preocupante es que cada vez se vuelven más sofisticados y constantes. Con el uso masificado de las tecnologías emergentes como el Internet de las cosas, a las que la mayoría no les presta atención, el problema se intensifica, dado que les brinda a los piratas informáticos nuevos mecanismos y vehículos para el ataque.

    De ahí que las empresas (y las personas también) deben procurar mantenerse al día con las motivaciones y tácticas cibercriminales que cambian constantemente. Aún cuando debido a la rápida implementación del teletrabajo, muchas compañías están optando por migrar grandes volúmenes de datos y aplicaciones a la nube,  en la rapidez empujada por el Covid, muchos errores se han cometido, como el dejar atrás porciones de información desprotegida que los hackers pueden explotar.

    ¿Qué pasos deben seguir las empresas para evitar ataques cibernéticos? Una de las mejores formas de evaluar una amenaza de intrusión es contar con profesionales independientes de seguridad informática que busquen penetrar en sus sistemas. Estos “hackers éticos” emplean las mismas herramientas y técnicas que los intrusos, pero con el propósito de evaluar la seguridad de los sistemas de las compañías contratantes e informar a los propietarios sobre las vulnerabilidades encontradas, junto con los reportes y las instrucciones de cómo remediarlas.

    El hacker ético está legalmente autorizado a explotar las redes de seguridad y mejorar los sistemas, reparando las vulnerabilidades detectadas durante las pruebas. También está obligado a revelar todas las vulnerabilidades descubiertas. Esta autorización es muy rígida, que blinda legalmente tanto a los hackers éticos como a las empresas. Es una decisión difícil para quien autoriza un acceso extraño a sus sistemas, pero al menos hay que agradecer que existen estas soluciones de mercado que permiten estar un poco más protegidas a las organizaciones y por ende, sus activos más valiosos, que son los datos.

    Si bien puede parecer una mala idea el hacer uso de piratas informáticos para ayudar a planificar y probar ciberdefensas, es importante saber que su experiencia, idéntica a quienes intrusan sistemas en forma no autorizada, puede ser muy valiosa.

    Los hackers éticos pueden desempeñar un papel fundamental para ayudar a los equipos de seguridad a considerar cada vector de ataque posible, y así proteger las aplicaciones. El proceso debe ser planificado con antelación, los aspectos técnicos, de gestión y estratégicos deben ser sumamente cuidados, y llevar a cabo las etapas en un marco de control y supervisión constante.

    Existen varias maneras de reclutar hackers éticos, el método más común es un esquema de “recompensa por vulnerabilidad” que opera bajo términos y condiciones estrictas contractuales. De esta manera, cualquier hacker ético puede buscar y enviar vulnerabilidades descubiertas y con ello ganar una recompensa dineraria. Uno de estos servicios más conocidos y que recomendamos, es HackTrophy, que es un servicio destinado a probar la seguridad de las plataformas de Internet, lanzada en Marzo de 2017.

    Para los clientes, se les ofrece la posibilidad de que sus sistemas sean probados por un programa de «recompensa de errores», en que expertos informáticos de todo el mundo pueden participar. Estos expertos intentarán encontrar vulnerabilidades en los sistemas registrados. El principal beneficio para los clientes es la experiencia de multitud de expertos globales, que son hackers que están registrados en el programa y buscan debilidades de seguridad en la aplicación sometida. De esta forma, el cliente puede encargarse de la seguridad de sus sistemas, beneficiándose en ambos métodos, ofensivos y preventivos. La motivacion para los hackers éticos participantes no solo es el prestigio sino también el dinero del premio, que se paga por cada una de las vulnerabilidades de seguridad encontradas para el primer hacker que lo descubrió.

    Datos para tomar en cuenta: Los piratas informáticos atacan hasta 37,000 páginas web todos los días; hay un 86% de posibilidades de que su sitio web contenga una vulnerabilidad crítica que pueda causar la pérdida de datos confidenciales; el costo de reparar el daño causado por un ataque de piratería asciende a entre 35,000  y  9,5 millones de dólares. Siempre en el mejor de los casos y que el ataque no sea tan feroz que implique la pérdida de su compañía.

    Según Hackerone 2019, la comunidad de hackers éticos se ha duplicado año tras año. El año pasado, se repartieron cerca de USD 80 millones en recompensas. El informe también estima que los piratas informáticos éticos que más ganan pueden lograr hasta cuarenta veces el salario medio anual de un ingeniero de software.

    Diversas empresas optan por contratar de manera directa a piratas informáticos externos, algunos de ellos incluso con historial de actividad criminal, quienes sólo tienen en abundancia la experiencia práctica. Al final del día, un hacker es un hacker, la única diferencia es lo que hacen los éticos y los delincuentes una vez que encuentran un error o vulnerabilidad.

    Si desea conocer más sobre hacking ético, no dude en consultarnos. Este asesoramiento es gratuito, online y en tiempo real, por un máximo de 30 minutos por sesión. Las sesiones son en idioma inglés.

    Para concretar su cita, escríbanos a info@goethalsconsulting.com o llamar al 6679-2750/6676-9280.