Filtran boletines de alumnos de la Ciudad de Buenos Aires con calificaciones y datos personales
Miles de registros están disponibles online, ransomware al INTA, Windows Update falsos y argentina lidera el ranking de ciberataques de la región.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
28 abr>
5 may
🧑🎓 Filtran boletines de alumnos de colegios en Ciudad de Buenos Aires
Una usuaria de Twitter advirtió la filtración de boletines de calificaciones de alumnos de escuelas de la Ciudad de Buenos Aires.
Los boletines de calificaciones son documentos personales y privados que funcionan como legajos, por lo que la subida afecta los derechos de los menores. El sistema al cual está subido permite descargarlos en PDF.
SecOps comprobó que, ante distintas búsquedas en la plataforma donde está subida la información, aparecían boletines con datos personales: nombres completos, institución, grado, sección, calificaciones y más. Las fechas de subida varían entre 2022 y 2023, con algunos muy recientes de marzo de este año.
Según los parámetros de búsqueda, el sistema arrojó entre 5 y 7 mil resultados, lo que dista de ser la totalidad de los boletines de todas las escuelas de C.A.B.A.
El Gobierno porteño tiene un sistema online llamado Mi Escuela que funciona como un centro de gestión con información personal de los alumnos.
La filtración podría haber ocurrido por ahí, aunque el tema es tan reciente que todavía se desconoce el origen del leak: no está claro si fue subido con fines maliciosos o simplemente fue un descuido de una persona, alumno o institución.
[ACTUALIZACIÓN]
Tras la publicación de esta entrada, Irene Hartman amplió el tema en Clarín:
Desde el Ministerio, en principio, negaron que se trate de un problema de seguridad informática, es decir, haber sufrido alguna clase de filtración o hackeo. Sin embargo, tampoco se animaron a descartar una acción "maliciosa”.
Por lo pronto aseguraron que en el curso de la mañana del viernes, varias de las escuelas involucradas les confesaron haber estado usando la plataforma en cuestión, cuyo dominio no se revelará, ya que al cierre de esta nota todavía estaba disponible la documentación sensible de los menores.
La explicación que dieron en esos establecimientos es que les resultaba “más fácil colgarlos ahí que en la plataforma oficial Mi Escuela para que las familias luego bajen los boletines”, parafrasearon desde el Ministerio, en alusión al espacio virtual disponible para las instituciones escolares de CABA.
📶 Routers usados: más de la mitad vienen con datos sensibles del dueño anterior
Un estudio realizado por investigadores de ESET detectó que se pueden comprar routers de empresas con datos confidenciales, como usuario y contraseña, que pueden servir para cometer ciberdelitos.
Los expertos compraron 18 routers usados y descubrieron que aún se podía acceder a los datos de configuración completos en más de la mitad. Un router (o “enrutador”) se utiliza para compartir una conexión a Internet entre varios dispositivos a partir de la creación de una red entre equipos (sean hogareños o empresariales), mientras que el módem conecta esa red y los equipos de ella a internet.
Explicó a SecOps Adolfo Fioranelli, experto en redes y comunicaciones, CEO y fundador de Consultores IT:
“Los routers usados, así como cualquier equipo de comunicaciones, tienen configuraciones que se guardan en memorias del tipo flash, que no se borran al reiniciar el equipo. Al comprar uno usado que no fue debidamente tratado para borrar sus configuraciones, el dueño nuevo tiene copias de esas configuraciones del anterior, incluyendo reglas de seguridad y contraseñas de los equipos, como así también las redes que atendía, las rutas IP y muchísima información sumamente valiosa para un atacante”
Lo que descubrió ESET es que el 56% de los dispositivos contenían datos y detalles de configuración a los cuales se podía acceder para tomar datos sensibles.
Fioranelli hizo la misma prueba en reiteradas ocasiones con routers que se venden en sitios de ecommerce como Mercado Libre:
“En mi experiencia, 9 de cada 10 vienen con las configuraciones del dueño anterior y en la mayoría de los casos corresponden a empresas multinacionales o locales de las más importantes”
Así, lo correcto en estos casos es que el administrador de sistemas borre la configuración de forma segura y restablezca a valores de fábrica para asegurarse que no se acceda a información sensible. Sobre todo teniendo en cuenta que las empresas son los blancos más atractivos para los atacantes.
El reporte completo se puede leer acá:
🔑 Google estrena passkeys: adiós a las contraseñas
Google estrenó este jueves un nuevo método para iniciar sesión que no requiere contraseñas: las “passkeys” o llaves de acceso. Se trata de un sistema que utiliza el dispositivo del usuario a través de un pin, huella digital o datos biométricos, en lugar de la clásica contraseña.
Con las llaves de acceso, la autenticación de los usuarios se sincroniza en todos sus dispositivos a través de la nube mediante pares de claves criptográficas. Esto permite al usuario iniciar sesión en sitios web y aplicaciones con la misma biometría (huella o reconocimiento facial), o PIN de bloqueo de pantalla que utilizan para desbloquear sus dispositivos.
“El año pasado, junto con FIDO Alliance, Apple y Microsoft, anunciamos que comenzaríamos a trabajar para admitir llaves de acceso en nuestra plataforma como una alternativa más fácil y segura a las contraseñas”, explicó la empresa en su blog oficial, en una entrada que tituló "El comienzo del fin de la contraseña".
Los motivos de esta migración, que por el momento es optativa, tienen que ver con que las contraseñas a menudo se filtran online y son proclives a ser aprovechadas por estafadores y ciberatacantes. Las llaves de acceso dificultan a los atacantes acceder a cuentas ajenas, ya que se necesita acceso físico al dispositivo del usuario.
No es muy distinto al funcionamiento actual de las contraseñas almacenadas, solo que para que Google permita el acceso pedirá el desbloqueo del dispositivo, con un sensor biométrico (como una huella digital o un reconocimiento facial), un PIN o un patrón. Es decir, lo pedirá de manera obligatoria, algo que hoy no sucede con el segundo factor.
Más información, en el blog oficial de Google.
🔒 Ransomware al INTA
El Instituto Nacional de Tecnología Agropecuaria de Argentina sufrió un ataque de ransomware el fin de semana pasado. Según comunicó la propia entidad por Twitter, desconectaron todos los equipos en lo que sería una red de más de 400 puntos de acceso.
Luego del ataque, el organismo que realiza investigaciones en materia agropecuaria envió un correo electrónico a toda su base interna.
Según reconstruyó Clarín, allí comunicaron que se trataba de un secuestro de información: “Es un ataque del tipo ransomware dirigido a organizaciones de gran envergadura, que se difunde por propagación infectando cada vez más equipos en la red y encriptando sus contenidos”, explicaron.
La infraestructura tecnológica del INTA abarca a cerca de 7 mil personas, por lo que la recuperación de los servicios seguramente demore bastante tiempo.
Se desconoce aún quién fue el autor del ataque, pero algunos expertos en análisis de amenazas apuntaron a Black Cat (ALPHV), uno de los grupos líder en ransomware este año.
🪟 Updates falsos de Windows: así hackearon a Ucrania
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) aseguró que hackers rusos usaron correos electrónicos con phishing para engañar a varios organismos gubernamentales. La estrategia: hacerse pasar por instrucciones sobre cómo actualizar Windows como defensa contra los ataques cibernéticos.
CERT-UA cree que el grupo de cibercriminales ruso APT28 (conocido como Fancy Bear, patrocinado por el Estado) envió estos correos electrónicos y se hicieron pasar por administradores de sistemas para facilitar el engaño de sus objetivos.
Para este propósito, los atacantes crearon direcciones de correo electrónico @outlook utilizando nombres de empleados reales adquiridos por medios desconocidos en las etapas preparatorias del ataque. En general, los datos de los empleados suelen conseguirse en bases de datos filtradas en la dark web.
En lugar de las instrucciones típicas para instalar una actualización, los mails maliciosos hacían ejecutar un comando de PowerShell que funcionaba como la puerta de entrada para el acceso remoto al equipo.
Google detectó que el 60% de los ataques de phishing que ocurrieron en Ucrania en 2023 vienen precisamente de Rusia, con APT28 como principal atacante.
🌎 Una de cada dos empresas sufrió un ransomware en América Latina
El 53% de un grupo de empresas latinoamericanas encuestadas fue víctima de un ataque de ransomware en el último año y un 45% fue atacado una o más veces. Los datos se desprenden del reporte global de amenazas de Fortinet, publicado en abril de 2023.
El reporte contiene algunos datos destacables:
El porcentaje de organizaciones que paga el rescate sigue siendo alto, con casi tres cuartos de los encuestados efectuando algún tipo de pago.
Comparando entre industrias, el sector manufacturero recibió más ataques y fueron los más propensos a pagar.
Los mayores retos para detener los ataques de ransomware están relacionados a personas y procesos [el phishing sigue siendo una puerta de entrada muy frecuente]
La amenaza global de ransomware continúa alcanzando niveles muy altos. La mitad de las organizaciones de todos los tamaños, regiones e industrias ha sido víctima en el último año.
Hacia el final del informe, que se puede leer completo en este enlace, aclaran sus condiciones de producción:
“La encuesta fue llevada a cabo entre 569 líderes de ciberseguridad distribuidos en 31 países alrededor del mundo incluyendo: Brasil, México, Colombia, Canadá, Estados Unidos, Reino Unido, Francia, India, y Japón, entre otros. Los encuestados pertenecen a un amplio rango de industrias como manufactura (29%), tecnología (19%), transporte (12%) y salud (11%)”
📈 Los ciberataques continúan aumentando: Argentina lidera el ranking regional
Check Point Research informó que los ataques semanales globales aumentaron un 7% en el primer trimestre de 2023 en comparación con el mismo período del año pasado, y cada organización enfrentó un promedio de 1.248 ataques por semana.
Según los investigadores, en lo que va de año, 1 de cada 31 organizaciones en todo el mundo ha experimentado un ataque por ransomware semanal.
El sector de la educación e investigación enfrentó el mayor número de ciberataques, con un promedio de 2.507 por organización por semana, un aumento del 15% frente a 2022. El cambio más significativo se produjo en el sector minorista-mayorista, que experimentó el mayor aumento interanual del 49%, con un promedio de 1.079 ataques por semana.
En Argentina, hubo un crecimiento de hasta el 22% en los ataques semanales con respecto al mismo periodo del año anterior, aumentando en promedio hasta los 2.052 ciberataques por semana.
El reporte completo, en inglés, en este enlace.
🔗 Más info
Publican 15 mil credenciales de acceso en Argentina: hay accesos a bancos, ANMAT, policías y Conicet
Nueva estafa en Mercado Libre al comprar más de un producto
La ciudad de Dallas sufrió un ataque de ransomware
El servicio de U.S. Marshals de EE.UU. sigue hackeado después de 10 semanas
Chrome va a eliminar el candado de la barra de URL
Mozilla compró "Fakespot", un servicio para detectar reviews fake de compras online