Google tiene un plan para eliminar los ad-blockers
Prepara una API orientada a más seguridad pero con restricciones, rechazan cautelar contra la boleta electrónica, roban 60 millones en cripto y ranking de malware.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
21>28
jul
⛔ Un equipo de Google quiere eliminar los ad-blockers
Un equipo de cuatro ingenieros de Google está trabajando en una nueva API que apunta a bloquear cualquier intento de modificación de código de una página web. Entre ellas, una de las consecuencias más graves sería la de poder prohibir bloqueadores de anuncios (ad-blockers).
Los ad-blockers son programas (generalmente plugins) que bloquean anuncios publicitarios, tanto de páginas web como de videos. Desde banners hasta molestos pop-ups, constituyen una forma de navegar más “limpia” e incluso algunos browsers los traen ya instalados para que el usuario tenga una experiencia menos invasiva.
El proyecto se llama Web Environment Integrity y, explican, tiene un sentido orientado a la seguridad informática: según fundamentan en su GitHub, esto permitiría detectar modificaciones maliciosas y prevenirlas.
Entre otras cosas, explican que este sistema podría detectar manipulaciones en redes sociales y falsos engagements, identificar tráfico no humano (bots), prevenir campañas de phishing, bloquear la creación masiva de cuentas y hasta detectar cuando un usuario está en riesgo de ser comprometido.
Ahora bien, todo esto plantea un problema muy grande y es que muchos expertos ya están pensando que Google puede generar restricciones en cuanto a cómo navegar: es por esto que se habla de una suerte de DRM (gestión de derechos digitales, como tienen las películas, música o videojuegos que se compran online) sobre la web.
Opinó Charles Pick, fundador de Codemix, en un comentario dentro de un artículo de Hacker News:
El proyecto está alojado en un GitHub que no es de Google para aparentar distancia. Está redactado de una manera que hace parecer que es algo que beneficia a los usuarios, cuando es absolutamente lo contrario: subvierte todo el concepto de agencia de usuario. Es una gran amenaza para nuestra industria y no podemos permitirlo.
Las críticas siguieron en otros medios especializados: Los ingenieros de Google quieren hacer (casi) imposible el bloqueo de anuncios y Cuando Google piensa que es la dueña de internet fueron otras dos perspectivas que se pudieron recoger desde que se conoció el proyecto. El equipo de desarrollo del navegador Vivaldi también se pronunció.
Así, estas ideas, si bien embrionarias, son congruentes con las medidas que viene aplicando Google para restringir el acceso a quienes bloquean anuncios: YouTube, propiedad de Alphabet (empresa matriz de Google), empezó a probar un sistema para deshabilitar la reproducción de videos en aquellos usuarios que tienen instaladas extensiones que bloquean publicidades.
Todavía parece faltar para que el tema salte la barrera de los medios especializados, pero de adoptarse esta medida, podría generar una avalancha de cuestionamientos y derivas legales, sobre todo por parte de los reguladores europeos.
🗳 Rechazan el cuestionamiento a la boleta electrónica: podría llegar a la Corte Suprema
En la última edición del mes pasado de SecOps contamos que la Fundación Vía Libre había interpuesto una acción cautelar para que se suspenda la utilización del sistema de boleta electrónica que proveerá MSA en las próximas elecciones primarias (PASO) para Jefe de Gobierno de la Ciudad de Buenos Aires.
Beatriz Busaniche, presidenta de la fundación, explicó en una entrevista a este medio (se puede leer acá) por qué este sistema es problemático: no se puede auditar de manera correcta, por un lado, y es vulnerable a ciberataques (probado mediante distintos métodos en 2015).
Esta semana, y sin muchas sorpresas, la Justicia porteña rechazó el amparo contra este sistema. Explicó Busaniche a SecOps:
Nuestra acción judicial era dual: una cautelar para la elección del 13 de agosto y un amparo para todo el proceso. Siguiendo el dictamen de la Fiscalía, muchos días después de los plazos habituales de una medida cautelar, el tribunal descartó de plano -in limine le llaman los abogados- nuestra acción sin tocar absolutamente ninguno de los puntos que nosotros presentamos en nuestro extenso escrito.
Según la experta, todo se debió a “un tecnicismo”:
Simplemente nos atribuyeron que no tenemos legitimidad para disputar un tema de derecho electoral. Nada más que eso: o sea, la única respuesta que tuvimos fue que Vía Libre, como en su estatuto no dice que vela por derechos electorales y está basado en cuestiones vinculadas con tecnología, acceso al conocimiento y todas las cuestiones que están en nuestro estatuto, dicen que eso no tiene nada que ver. Directamente descartaron todo con un tecnicismo.
Además, contó que Vía Libre apeló la decisión y que se encuentra actualmente en el Supremo Tribunal de Justicia de la Ciudad: “Imaginamos que seguirán en esa línea, con lo cual tendremos que seguir hasta la Corte Suprema de la Nación”.
🪙 Vinculan a Lazarus con el robo de 60 millones de un bridge cripto: Alphapo
Un grupo de analistas de blockchain apuntan al grupo norcoreano de ciberdelincuentes Lazarus por un ataque reciente a la plataforma de procesamiento de pagos Alphapo, donde los atacantes robaron casi 60 millones de dólares en criptoactivos.
Alphapo es un proveedor de pagos criptográficos centralizado para sitios de apuestas, servicios de suscripción de comercio electrónico y otras plataformas en línea, que fue atacado el domingo 23 de julio, con un monto robado inicial estimado en 23 millones.
Este robo incluyó más de 6 millones de USDT, 108.000 USDC, 100 millones de FTN, 430.000 TFL, 25.000 ETH y 1.700 DAI, todos extraídos de monederos calientes, probablemente gracias a una fuga de claves privadas.
Lazarus tiene un historial prolífico en robos cripto: está relacionado al robo de 35 millones de dólares de Atomic Wallet, el hackeo de 100 millones de dólares de Harmony Horizon y el de 617 millones de dólares de Axie Infinity.
Suelen usar ofertas de trabajo falsas para engañar a los empleados de empresas cripto, que suelen caer en sus estrategias de phishing.
🕵 Clop, desatado: agrega 54 víctimas en un día y hay grandes empresas
El grupo de ransomware Clop tuvo una semana intensa en cuanto a ataques de ransomware: Deloitte, PBI, el canal Hallmark, Toyota, Zurich y más de 50 compañías aparecieron listadas en un solo día (miércoles).
Emsisoft tiene un seguimiento de los casos y los números ya se perfilan para un record de afectados por una vulnerabilidad: 503 organizaciones (entre Estados y empresas) y cerca de 23 millones y medio de individuos.
Entre ellos hay 99 escuelas, 22 dependencias del sector público y 31 entidades públicas internacionales.
Además, según reportó el investigador Germán Fernández, Clop está preparando una página para subir sus leaks en la clearnet (es decir, accesible a cualquier usuario mediante un navegador de uso masivo como Google Chrome o Safari).
Los grupos de ransomware siguen activos, en un contexto en el cual 2023 ya va para un record en cuanto a las cifras recaudadas.
🏛 Cuatro días para informar un ciberataque: la SEC se endurece con las empresas
Uno de los problemas recurrentes cuando hay ciberataques contra empresas es la poca transparencia que tienen para comunicar lo que sucede. Esto estará más regulado en Estados Unidos: ahora, la Comisión de Bolsa y Valores (SEC) dará 4 días para comunicar un ciberataque.
El presidente de la SEC, Gary Gensler, explicó las razones de esta nueva normativa: “En la actualidad, muchas empresas públicas proporcionan información sobre ciberseguridad a los inversores. Sin embargo, creo que tanto las empresas como los inversores se beneficiarían si esta información se diera de forma más coherente, comparable y útil para la toma de decisiones”.
Además, deberán incluir detalles sobre qué pasó, el alcance y cuándo ocurrió el incidente, en los formularios 8-K.
En Argentina, por ejemplo, es muy común que tarden en emitir comunicados, que no reconozcan los ataques o que no respondan llamados de la prensa en el momento de pedir comentarios.
Marcela Pallero, Responsable del Programa STIC de la Fundación Sadosky, explicó a SecOps el contexto de la nueva normativa de la SEC:
Las noticias sobre las medidas de notificación de ciberataques de la SEC comenzaron en marzo de 2022. En este caso, el foco del ente regulador se pone sobre los riesgos en las inversiones: el argumento es que la divulgación pública de la información sobre cómo las empresas abordan los riesgos es importante para tomar decisiones de inversión, es un principio. Lo que incorporan explícitamente en este caso es cómo se preparan para este tipo de riesgos.
Sin embargo, la experta en regulaciones sobre seguridad de la información advierte que esto podría ser un problema para los actores más pequeños:
Se sabe que incorporar medidas de ciberseguridad requiere de mayor presupuesto que no hayan sido consideradas por las empresas más pequeñas. Será un desafío para que no queden fuera del mercado.
La medida de la SEC constituye así un paso adelante que podría sentar un precedente positivo para imitar en otras regiones, pero hay que advertir una posible ambigüedad a futuro: “Son cuatro días desde que se descubre el impacto material del ciberataque”, advirtió en Mastodon Joseph Menn, periodista del Washington Post.
“Seguramente los abogados lleven esa determinación lo más lejos posible”, reflexionó.
🤖 Check Point Research: Qbot, el malware de junio
Check Point Research publicó su Índice Global de Amenazas del mes de junio y Qbot sigue liderando el ranking de malwares más detectados. Se trata de un troyano bancario que se detectó por primera vez en 2008 y fue cambiando con el tiempo, pero principalmente roba contraseñas, correos electrónicos y datos de tarjetas de crédito.
Se propaga habitualmente a través de spam y emplea diversas técnicas: métodos anti-VM, anti-depuración y anti-sandbox, para impedir el análisis y evitar su detección. En la actualidad, su función principal es actuar como cargador de otro malware y consolidar su presencia en las empresas objetivo donde hace de trampolín para los operadores de grupos de ransomware.
Otro de los puntos destacados del informe de Check Point es la gravedad de la vulnerabilidad de MOVEit: “En mayo de 2023, Progress Software Corporation reveló una vulnerabilidad en MOVEit Transfer y MOVEit Cloud (CVE-2023-34362) que daba acceso no autorizado al entorno. A pesar de que se parcheó en 48 horas, los ciberdelincuentes asociados con el grupo de ransomware Clop, afiliado a Rusia, explotaron la vulnerabilidad y lanzaron un ataque a la cadena de suministro contra los usuarios”.
Otros datos destacables del reporte:
Las tres industrias más atacadas a nivel mundial
Educación/investigación
Gobierno/militar
Sanidad
Los tres malwares móviles más usados en mayo
SpinOk – es un módulo de software para Android que funciona como spyware.
Anubis – malware troyano bancario diseñado para teléfonos móviles Android.
AhMyth – troyano de acceso remoto (RAT) descubierto en 2017
Las tres vulnerabilidades más explotadas en junio
Web Servers Malicious URL Directory Traversal
Ejecución remota de código Apache Log4j (CVE-2021-44228)
Ejecución remota de código de encabezados HTTP (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)
🔗 Más info
Falsos anuncios de IA en Facebook estafan usuarios
BundleBot, un nuevo infostealer: análisis en profundidad
La OTAN investiga un robo de información de SiegedSec
Analistas sugieren que el impacto del hackeo a Microsoft por parte de Storm-0558 podría ser más grave
Call Of Duty: Modern Warfare 2, infectado por un worm
Incautaron una instancia de Mastodon por primera vez
Tras un año de inactividad, volvió Stormous