Personal usa tu modem para dar internet a otros sin avisarte
El BCRA dispone nueva normativa para ciberataques en bancos y fintech, informe sobre datos personales de ADC y auto-fill de passwords peligroso en Bitwarden.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
10>17
marzo
📡 Personal ya usa masivamente los modems de usuarios para dar internet a terceros
Un usuario de Twitter (@rusosnith) detectó el año pasado que Personal (proveedor de internet en Argentina) usa el módem de los usuarios para generar puntos de acceso a terceros. Esta semana empezó a aparecer de manera masiva una red llamada "Personal Wifi Zone" entre los usuarios de Personal.
La empresa lo hace para dar conectividad a otros usuarios de Personal (al entrar, pide datos de logueo).
Más allá de la legalidad o no de la cuestión (la empresa provee el módem y probablemente tenga letra chica que el usuario firma cuando se da de alta), esto conlleva un peligro para la seguridad informática.
SecOps consultó a Santiago Pérez, analista de seguridad de Birmingham Cyber Arms LTD:
“El proveedor del servicio habilita -sin notificar al usuario- una red WiFi ‘Guest’ para invitados. Utiliza esto para brindar servicio y cobertura a cualquier persona que desee conectarse. De hecho, otros proveedores como Telecentro ya hacen uso de esta práctica desde hace tiempo con Telecentro WiFi Zone”
Hay un primer problema respecto del rendimiento de la conexión y un segundo más grave respecto de la seguridad:
“La mayoría de los routers utilizados por los proveedores no suelen manejar VLANs (redes virtuales) que permitan segregar el tráfico. Además, al ser abierto cualquiera puede conectarse y presumiblemente utilizar una dirección IP asociada al usuario contratante del servicio”
Pérez advierte que esto se puede desactivar y que sería lo más recomendable hacer:
“Lo más simple es solicitarle al proveedor que desactive la función o bien que coloque el dispositivo en ‘modo bridge’ y agregar otro router de nuestra preferencia que recibirá datos del mismo y los retransmitirá bajo nuestras condiciones. Otra opción es acceder al panel de administración del equipo, aunque esto no siempre es posible y a veces incluso no figura en el menú para deshabilitar esta función”
🏛 El Banco Central emite nueva normativa de ciberseguridad
El Banco Central de la República Argentina (BCRA) dio a conocer nuevas normativas sobre cómo deben tratar las entidades financieras los incidentes en ciberseguridad.
Esto tiene que ver con el enorme incremento de casos de phishing durante el último año y, sobre todo, con cómo los manejan algunos bancos y fintech: generalmente, culpando al usuario y no asistiéndolo.
A fines de la semana pasada, el BCRA publicó la Comunicación A 7724 que establece nuevas normas en los cajeros y online banking.
SecOps consultó a Marcela Pallero, Directora de Seguridad en TIC de la Fundación Sadosky:
“La norma considera aspectos de riesgos, tecnología y seguridad de la información para los órganos del Gobierno de una entidad financiera y para los niveles gerenciales y los operativos. Además de solicitar la adopción de metodologías para los aspectos de tecnología y seguridad que estén alineados con el riesgo operacional, aborda temas nuevos, como por ejemplo, la inteligencia artificial, ciberincidentes, gestión del dato y ciberresiliencia”
Para la experta y docente se trata de un avance que intenta “elevar los requisitos a estándares internacionales”:
“Son cambios que no preocupan a las entidades que ya cuentan regulación internacional en estas materias, aunque tal vez algunos grandes jugadores deban adaptar sus prácticas. Para los más pequeños, siempre está la gestión del riesgo en función de sus operaciones, procesos y estructura”
La nueva disposición insiste mucho, sin embargo, en lo difícil que es controlar que el usuario no entregue sus datos personales a estafadores en ataques de ingeniería social.
El texto actualiza a la comunicación A 4609 (“en rigor, una compilación de textos de 2006”) y da un plazo de 180 días para su implementación.
🪪 ADC: ¿Quién defiende tus datos?
La Asociación por los Derechos Civiles (ADC) presentó un informe que analiza a las empresas que proveen internet en Argentina: Personal, Telecentro, Movistar, Arlink, Directv, iPlan y Claro.
SecOps habló con Carolina Martínez Elebi, licenciada en Comunicación de la Universidad de Buenos Aires y fundadora de DHyTecno, quien asistió a la presentación:
“Estas empresas acceden a una serie de datos personales que, teniendo en cuenta la forma en la cual queden resguardados, pueden vulnerar más o menos los derechos de las personas y sobre todo el derecho a la privacidad. El hecho de ponerlo en discusión y hacerlo público los pone en un compromiso de cara a la protección de los datos de sus usuarios y usuarias”
Por otro lado “se analizan informes de transparencia que evalúan la cantidad de solicitudes que reciben estas compañías por parte de las fuerzas de seguridad y de organismos gubernamentales y cuántos de ellos dan curso a esos pedidos”. Movistar es la única que más o menos tiene un puntaje aceptable (ver cuadro).
La investigación está en el marco de la Electronic Frontier Foundation y se puede leer completa en este enlace.
📧 El hackeo de mails corporativos (BEC) pierde liderazgo ante el fraude financiero
El FBI publicó su informe anual sobre delitos en Internet y detectó que, tras siete años de dominio, el hackeo de correos electrónicos de empresas (BEC, Business Email Compromise) ya no lidera la lista.
¿La razón? Ahora la categoría de ataques que domina es el fraude en inversiones. El informe, conocido como Internet Crime Complaint Center (IC3), recopila reportes de estadounidenses al FBI. En 2022, los usuarios declararon haber perdido más de 10 mil millones de dólares por diversas formas de ciberdelincuencia, lo que supone un aumento de más del 50% respecto a la cifra de 6.900 millones de dólares de 2021.
Si se mira a las cifras por categoría, las estafas por inversiones apócrifas (3.300 millones de dólares) le cedieron el primer puesto a los fraudes por BEC (2.700 millones de dólares). Pero ambos tipos de delitos juntos representaron más de la mitad de las pérdidas registradas el año pasado.
🎮 Stalker 2: chantaje a los desarrolladores
El desarrollador ucraniano del videojuego Stalker, GSC Game World, reportó que fue víctima de un hackeo que expuso información personal de la compañía para un posterior chantaje: el pedido que les hicieron los hackers fue que agregaran el paquete de idioma ruso al juego. De lo contrario, filtrarían datos internos.
En un comunicado compartido en Twitter, la compañía ucraniana dijo que la cuenta de un empleado fue intervenida, lo que resultó en un acceso no autorizado y posterior chantaje por “su actitud indigna hacia los jugadores de Rusia y Bielorrusia”.
Ayer el equipo del juego respondió que no le importa la intimidación:
"Somos una empresa ucraniana y, como la mayoría de los ucranianos, hemos vivido cosas mucho más aterradoras: casas destruidas, vidas arruinadas y la muerte de nuestros seres queridos. Los intentos de chantajearnos o intimidarnos son completamente inútiles"
🔑 El peligro del “auto-fill” en gestores de contraseñas
En un capítulo más de la tensión entre usabilidad y accesibilidad (más fácil de usar, menos seguro; y viceversa), una función de los gestores de contraseñas puso de manifiesto lo peligroso que es el auto-fill (o autocompletado de claves).
En particular, del administrador de constraseñas Bitwarden: la empresa de ciberseguridad Flashpoint.io explicó una vulnerabilidad mayor en este servicio que en otros de la competencia.
En los sitios web que utilizan iframes, un elemento HTML que carga otra página HTML dentro -como un documento embebido-, los formularios de acceso alojados en un sitio web externo se completan con el ID de usuario y la contraseña que tiene guardados para autocompletarse.
El resultado: esos datos quedan expuestos a ser robados. Esto es algo en lo que muchos expertos coinciden, no usar las extensiones de los navegadores para estos programas porque pueden ser vehículos de transmisión de ciberataques.
🪟 Microsoft crackea Windows y arregla un zero-day de Outlook
Sí: la propia compañía está usando cracks no oficiales para activar Windows en el equipo de un cliente que pidió soporte.
El caso lo reportó un usuario de Twitter radicado en Sudáfrica, quien pagó 200 dólares por una copia original de Windows 10 y se sorprendió al ver que un ingeniero de soporte de Microsoft crackeó su copia usando herramientas no oficiales.
Por otro lado, la empresa arregló un bug zero-day de Outlook usado por hackers rusos -GRU- desde abril del año pasado.
🐙 CheckPoint: Remcos, el troyano más usado del mundo en febrero 2023
El mes pasado, el troyano Remcos entró a la lista de los diez principales por primera vez desde diciembre de 2022 después de que se informara que los actores de amenazas lo usaban para atacar a las entidades gubernamentales de Ucrania a través de ataques de phishing.
Mientras tanto, Emotet (también reportado por Trend Micro) y Formbook Infostealer subieron en el ranking ocupando el segundo y tercer lugar respectivamente.
Educación/Investigación siguió siendo la industria objetivo a nivel mundial, según el nuevo informe de CheckPoint Research.
A nivel local, los 3 malware más buscados en Argentina en febrero fueron:
Qbot, troyano bancario de 2008, con 17.24%
Nanocore, malware de acceso remoto, con 11.72%
XMRig: software de minería de CPU, con 4.83%
🔗 Más info
La CISA (EE.UU) lanzó esta semana un programa de Vulnerabilidades por Ransomware (RVWP)
Un paciente demanda a un hospital atacado por ransomware: es por la filtración de fotos de oncológicos (Black Cat/ALPHV)
Un zero-day de FortiOS se estuvo usando para atacar redes gubernamentales
Mozilla parchea 7 vulnerabilidades de severidad alta en Firefox 11
Microsoft advierte una nueva ola de malware destructivo (wipers) por parte de Rusia.
Kali Linux lanzó su versión Purple que focaliza en software defensivo
Rusia prepara su alternativa a GitHub
Ciberataque a un proceso electoral: el parlamento de Estonia
Mismo problema. Llame a personal y primero se negaron a desactivar wifi zone. Cuando les dije "es inseguro, cualquiera se puede conectar sin contraseña" me lo desactivaron al toque.
Este allanamiento, nos lo hicieron en casa hace un año, jamas entendimos el por qué. Tenemos el servicio de Personal:
https://www.ellitoral.com.ar/corrientes/2022-5-21-1-0-0-otra-denuncia-por-estafas-virtuales-llevo-la-investigacion-hasta-cordoba