SEGURIDAD Y AUDITORIA DE SISTEMAS

Expertos en seguridad de   Appsecure descubrieron   que un delincuente podía hacerse con el control de las cuentas de la aplicación de citas Tinder con tan solo obtener el número de teléfono del usuario. La empresa tras las aplicación ya ha modificado su sistema de acceso para protegerse de este ataque, del que no se tiene constancia que haya sido explotado activamente. El ataque que permitía hacerse con una cuenta de Tinder se apoyaba en dos vulnerabilidades diferentes. Una de ellas afectaba al sistema   Account Kit   de Facebook, que es utilizado por Tinder para gestionar los accesos a su servicio mediante la aplicación. Desgraciadamente, el   token   generado con Account Kit quedaba expuesto y por lo tanto accesible a cualquiera que hiciera una simple solicitud de API con el número de teléfono asociado. Nota: Account Kit te ayuda a registrarte rápidamente en las aplicaciones usando solo un número de teléfono o una dirección de correo electrónico (no es necesario ingresar la contr

Se ha descubierto que millones de smart TVs de distintos fabricantes repartidos por todo el mundo podrían ser vulnerables a ataques que derivarían en el control total sobre los dispositivos, abriendo la puerta a acciones como rastrear los hábitos de los usuarios (incluso niños porque aquí no se discrimina), según una   investigación llevada a cabo por Consumer Reports .   Según el informe, cinco de los principales smart TVs del mercado   "pueden ser vulnerados por un atacante relativamente poco sofisticado" , pudiendo llevar a cabo acciones como subir el volumen (un brusco subidón al máximo puede ser muy molesto), apagar la conexión a la Wi-Fi, cambiar los canales o forzar la reproducción de contenidos en YouTube. La presunta vulnerabilidad ha sido encontrada en smart TVs de Samsung, TCL y otras marcas que hacen uso de la plataforma Roku TV, como Philips, RCA, Hisense, Hitachi, Insignia y Sharp, además de reproductores de streaming propios de Roku.   Sin embargo, no solo d

Un investigador de seguridad ha informado de tres exploits de la NSA filtrados que funcionan en todas las versiones de Windows lanzadas en los últimos 18 años. Esto significa que afecta desde Windows 2000 hasta las más recientes versiones. Los tres exploits son   EternalChampion, EternalRomance y EternalSynergy . Todos ellos se filtraron en abril del año pasado por un grupo de piratas informáticos conocido como The Shadow Brokers, que afirmaron haber robado el código de la NSA. Tres exploits de la NSA En la revelación de   Shadow Brokers   de abril de 2017 se lanzaron varios exploits y herramientas de pirateo. El más famoso fue EternalBlue, el exploit utilizado en los brotes de ransomware WannaCry, NotPetya y Bad Rabbit.   EternalBlue se convirtió en una herramienta favorita entre los autores de malware. La revelación de Shadow Brokers también contenía muchos exploits menos conocidos. La razón por la que muchos de estos no se popularizaron fue que solo funcionaban en un número peq

Hace algunos meses, específicamente para celebrar el Día Mundial contra la Falsificación , te compartimos una infografía que ponía bajo la lupa a los correos de phishing para que puedas identificar todas aquellas cuestiones típicas en un engaño de este tipo. Y hoy, para celebrar San Valentín, tenemos una nueva pieza que te va a ayudar a reconocer otro tipo de engaño clásico: los perfiles falsos en redes sociales. Básicamente, tomamos un perfil de Facebook básico y analizamos cada una de sus aristas, pero pusimos foco en las fotos de perfil y de la biografía en general , los contenidos de esas fotos y los que que se comparten en el feed, y hasta en la cantidad de amigos , sus fotos y su género. Puede parecer que estas cuestiones dicen poco, pero muy por el contrario: comunican demasiado. En esta nueva infografía  reunimos todos nuestros insights y hallazgos: [Infografía] ¿Cómo reconocer un perfil falso en Facebook? from ESET Latinoamérica   Fuente: WeLiveSecurity

2017 fue sin dudas el año del ransomware. Los usuarios y las empresas alrededor del mundo tuvieron que lidiar con la llegada de campañas masivas como Petya o WannaCryptor, y tolerar daños que sobrepasaron la   marca del billón de dólares . Sin embargo, no fue solo el ransomware para computadoras el que ocupó los titulares, ya que   los creadores del malware de Android también estaban en la búsqueda de nuevas vertientes de ataque . El mal uso de los servicios de Accesibilidad de Android – diseñado para ayudar a gente con discapacidades – ha sido una de las adiciones más ingeniosas en la escena del ransomware. Los black-hats también han reforzado sus intentos de extorsionar a las víctimas. Probablemente, uno de los casos más emblemáticos, demostrando ambos comportamientos, fue el de una nueva familia de ransomware hallada por los investigadores de ESET – denominada DoubleLocker . Descubierto en los últimos meses de 2017, fue también   uno de los picos más visibles en la activid

Las últimas investigaciones de NowSecure muestran que el   25% de las aplicaciones móviles contiene al menos una vulnerabilidad   de seguridad de alto riesgo.   El   59% de las app de finanzas   en Android tenía tres riesgos OWAS Mobile top 10.   El uso de dispositivos móviles está creciendo, hay más de 2 mil millones de aplicaciones en la App Store de Apple y 2,2 millones en Google Play Store.   Hay varios tipos de vulnerabilidades y algunas de las peligrosas son: Fugas de datos personales sensibles al usuario (correo electrónico, credenciales, IMEI, GPS, dirección MAC) a través de la red. Comunicación a través de la red con poco o ningún cifrado. Ejecución de código arbitrario. Malware Archivos editables Android/iOS App Vulnerability Scanner 1. Ostorlab 2. Appvigil 3. Quixxi 4. AndroTotal 5. Akana 6. NVISO 7. SandDroid Fuente: Segu-Info

España es el segundo país de la Unión Europea donde los ciudadanos muestran mayor preocupación por los riesgos en el uso de la autenticación biométrica a la hora de acceder a sus datos personales Online Identification and Security with Finger Pointing at Fingerprint   | El 67% de los usuarios en todo el mundo   se siente cómodo utilizando tecnologías biométricas   (lectura de huella dactilar, escaneado de retina y reconocimiento facial o de voz) para acceder a sus aplicaciones.   España es el segundo país de la Unión Europea donde los ciudadanos muestran mayor preocupación por los riesgos en el uso de la autenticación biométrica   a la hora de acceder a sus datos personales (55% frente al 45% de la Unión Europea). También nos preocupa más que la autenticación biométrica no funcione (53% frente a 43% de los países europeos). Estas son algunas de las conclusiones del estudio IBM Security Future of Identity basándose en más de 4.000 entrevistas realizadas a ciudadanos en todo

Según una   encuesta   realizada por Tripwire, menos de una quinta parte de las organizaciones están totalmente preparadas para notificar a los clientes sobre una brecha de datos cuando   entre en vigor el European Union's General Data Protection Regulation (GDPR) .   La legislación comunitaria sobre protección de datos, que entrará en vigor en mayo de 2018, establece como   "informar a tiempo"   el hacerlo en las siguientes 72 horas tras padecer la brecha de datos. La situación se agrava si tenemos en cuenta que el 73% de las organizaciones dijeron que solo estaban   "algo preparadas"   y que tendrían que resolver las cosas sobre la marcha, dando a entender que no tienen ningún plan de actuación ante ese tipo de incidencias. Por otro lado, un 24% dijo que podía enviar notificaciones en las próximas 24 horas, cumpliendo con la próxima normativa europea. Tim Erlin, vicepresidente de gestión del producto y estrategia de Tripwire, no ha dudado en calificar como &q